TeslaCrypt 4.0

Dopo la grande epidemia di infezioni di TeslaCrypt 3.0 avuta fra i mesi di gennaio e febbraio la nuova versione TeslaCrypt 4.0 è stata rilevata in questi ultimi giorni.

Il vettore dell’infezione è sempre una mail di spam, che si presenta come un fattura o un ordine, contenente un allegato in formato .ZIP che al suo interno contiene un file JavaScript (trojan) che una volta eseguito si occupa di scaricare il malware, che procederà alla crittografia dei file importanti presenti sul disco e sulle aree di rete condivise.

Mentre le versioni precedenti di questo malware aggiungevano le estensioni “.micro”, “.mp3”, “.ecc, “.ezz”, “.exx”, “.xyz”, “.zzz”, “.aaa”, “.abc”, “.ccc” o “vvv” al nome del file, quest’ultima variante lascia inalterato il nome del file, rendeno più difficile il riconoscimento dell’infezione.

L’unica possibilità per capire se il file è stato attaccato è verificare se nell’header del file compaiono le tracce della crittografia

offset size Description
 ————————————–
 0x000 8 0x0000000000000000
 0x008 8 %IDHEX%
 0x010 8 0x0000000000000000
 0x018 65 PublicKeyRandom1_octet
 0x059 32 AES_PrivateKeyMaster
 0x079 31 Padding 0
 0x098 65 PublicKeySHA256Master_octet
 0x0D9 3 0x000000
 0x0DC 65 PublicKeyRandom2_octet
 0x11D 32 AES_PrivateKeyFile
 0x13D 31 Padding 0
 0x15C 16 Initialization vector for AES
 0x16C 4 Size of original file
 AES 256 CBC

inoltre vengono creati dei file, con dei nomi casuali, con le istruzioni per sbloccarli:

%UserProfile%\Desktop\RECOVER[5_chars].html
%UserProfile%\Desktop\RECOVER[5_chars].png
%UserProfile%\Desktop\RECOVER[5_chars].txt
%UserProfile%\Documents\[random].exe
%UserProfile%\Documents\recover_file.txt

Dalle istruzioni su come ottenere il riscatto dei file troviamo alcune informazioni utili a comprendere l’azione del malware.

Il malware utilizza la crittografia AES con chiave pubblica RSA a 4096bit, inoltre è stato risolto un bug presente nelle versioni precedenti, in cui i file con dimensione superiore a 4GB nella fase di crittografia venivano danneggiati.

Questo malware ha delle caratteristiche che rischiano di mimetizzarne l’impatto per un lungo periodo, e rendere difficoltoso il recupero da un backup poiché i nomi dei file non vengono modificati.

Alcune tecniche di mitigazione del rischio consistono nel bloccare l’elenco degli indirizzi IP dei server da cui avviene il download del malware, ma questa tecnica espone ancora ad importanti rischi, ai criminali basterebbe aggiungere un nuovo server.

Per garantirsi una protezione più efficace occorre utilizzare una protezione contro lo spam, ed una protezione antimalware complessa come la soluzione di protezione Kaspersky contro le infezioni da Ransomware, all’avanguardia contro ogni tipo di cyber criminalità.

Maktub Ransomware

Maktub è un malware della famiglia del ransomware, che utilizza come vettore di diffusione i messaggi email di spam, aventi come contenuto una informativa sulle nuove condizioni del servizio e sulla privacy da consultare nel documento allegato in formato .ZIP che contiene all’interno un .RTF.

Il malware una volta che è stato attivato, per essere più rapido, effettua prima una operazione di compressione e successivamente effettua la crittografia. I file crittografati, risulteranno avere una estensione modificata a caso utilizzando caratteri minuscoli dalla “a” alla “z” [a-z] e numeri compresi fra 4 e 6 {4,6}

La crittografia utilizza le funzioni crittografiche Windows Crypto API, già incluse nel sistema operativo.

la chiave pubblica RSA a 2048 bit è codificata all’interno del malware, mentre la chiave base viene generata al momento, una funzione genera 32 byte casuali, di cui viene calcolato il rispettivo HASH MD5, che viene convertito nella chiave a 256bit necessaria ad AES per iniziare la crittografia.

In questa maniera nessuna chiave viene trasferita tra la vittima ed il server di gestione del malware, che possiede già la chiave privata RSA, mentre la chiave base viene fornita dalla vittima quando richiede lo sblocco.

Terminata la crittografia dei file compare la tipica per la richiesta di un “riscatto”, la tariffa, espressa come sempre accade in questi casi in BitCoin aumenta nel caso il pagamento non sia tempestivo.

Come accade frequentemente in questi malware, vengono introdotte delle esclusioni, in questo caso il malware non produce nessun effetto se layout della tastiera è impostato sull’id 1049, quello russo. Inoltre vengono escluse dalla crittografia la cartelle:

"\\internet explorer\\;\\history\\;\\mozilla\\;\\chrome\\;\\temp\\;\\program files\\;\\program files (x86)\\;\\microsoft\\;\\chache\\;\\chaches\\;\\appdata\\;"

Questa versione del ransomware ha elementi caratteristici che lo rendono pericoloso nel breve-medio periodo, in particolare ha la tendenza ad essere il meno identificabile possibile, nessuna interazione diretta con i server per lo scambio delle chiavi, le estensioni dei file crittografati cambiano dinamicamente, l’utilizzo di funzioni già presenti nel sistema operativo.

Tuttavia la presenza della chiave pubblica embedded nel codice può renderla vulnerabile e la probabilità che questa possa essere compromessa cresce nel tempo, ma chi è disposto ad aspettare qualche anno per riavere i propri dati gratis?

Proteggersi è molto più conveniente, scopri la soluzione di protezione Kaspersky contro le infezioni da Ransomware, all’avanguardia contro ogni tipo di cyber criminalità.

La tecnologia Kaspersky efficace nel bloccare il CryptoLocker

Una delle minacce più diffuse e temute è CryptoLocker (ransomware).
Di questa famiglia di minaccia siamo kaspersky già arrivati alla 3 generazione ed inizia a presentarsi qualche esemplare talmente evoluto da poter affermare di essere di fronte alla 4 generazione.

Inoltre iniziano a diffondersi malware CryptoLocker anche per sistemi operativi non Microsoft, ad esempio per Linux e Mac.

La protezione da CryptoLocker deve basarsi su due pilastri, il primo impedire al malware di arrivare, e questo è solitamente avviene tramite un buon antispam, il secondo invece è riuscire a bloccare il funzionamento nel caso il malware sia comunque entrato.

Kaspersky ha sviluppato delle tecnologie che rendono inefficace il funzionamento del CryptoLocker nel caso il malware non fosse identificabile con le tecniche di rilevazione.
Nel dettaglio il modulo più efficace è il modulo “Application Privilege Control”.

Questo modulo funziona in collaborazione con il servizio cloud Kaspersky KSN, valuta per ciascuna applicazione se la firma di quel eseguibile è considerata collegata ad una applicazione fidata. Se l’applicazione non è fidata gli vengono tolti i privilegi di esecuzione, ad esempio lettura e scrittura sul file system.

Nel caso di una variante recentissima di cryptolocker, la firma dell’applicazione non sarà considerata fidata, se anche dovesse sfuggire l’individuazione dell’analisi euristica e l’applicazione dovesse partire, si ritroverebbe ad essere reso inoffensivo perché non avrebbe i privilegi di scrittura su disco.

Il secondo modulo che interviene è System Watcher, che tiene sotto controllo loggando le operazioni svolte sui file di sistema da applicazioni non fidate, e permettendo un rollback dei file di sistema completo in caso l’applicazione sotto osservazione si rivelasse un malware.

Argonavis è a vostra disposizione per fornirvi ulteriori informazioni su aspetti tecnici e commerciali, ed illustrarvi la convenienza nel proteggere i vostri sistemi con la tecnologia Kaspersky.

Richiedi Informazioni

Come agire di fronte al rischio informatico

Ogni azienda ed organizzazione è esposta a rischi di un attacco informatico. Gli approcci possibili verso queste minacce sono di quattro tipi:

Mitigazione del rischio: vengono implementati controlli di sicurezza, rafforzate le politiche e le procedure di sicurezza, viene fatta formazione al personale, vengono adottati strumenti adeguati e se necessario viene modificato l’ambiente infrastrutturale.
Trasferimento del rischio: viene stipulata una polizza assicurativa in grado di coprire le perdite causate da un incidente informatico. Va notato che difficilmente una polizza assicurativa sarà in grado di risarcire il danno di immagine che un attacco produce.
Accettazione del rischio: non viene presa nessuna misura di sicurezza accettando il rischio di subire un attacco ed una perdita economica per l’azienda in caso di incidente.
Va considerato che i responsabili dell’azienda, potrebbero essere chiamati a rispondere di fronte alla legge della negligenza con cui hanno trattato alcuni dati, che le aziende custodiscono.
Interruzione delle attività a rischio: si sceglie di interrompere le attività che stanno mettendo a rischio la sicurezza. Considerato che la capacità di aggressione ad un sistema informatico è talmente elevata, che se si dovessero interrompere tutte le attività che comportano un rischio informatico, occorrerebbe interrompere l’utilizzo di ogni mezzo tecnologico.

La soluzione in grado di eliminare il rischio in modo assoluto non è presente, la capacità dei criminali informatici è molto elevata ed in continua evoluzione, esistono strumenti molto efficaci per la mitigazione del rischio, in grado di ridurre notevolmente l’esposizione al rischio, proporzionalmente al livello di adeguatezza della soluzione rispetto la minaccia.

Una azienda con notevole esposizione al rischio di attacco, potrebbe scegliere in aggiunta alle soluzione di mitigazione del rischio di stipulare una polizza assicurativa.

Questo approccio sembra a prima vista particolare e poco diffuso, mentre invece è una pratica molto diffusa. Quando acquistiamo un certificato SSL, con un pò di attenzione si noterà che il certificato ci viene fornito con una assicurazione che copre i danni subiti da un eventuale attacco, entro un massimale che cambia per ciascuna tipologia di certificato.

Questo è un esempio di mitigazione del rischio (Crittografia del canale di comunicazione) con un trasferimento del rischio (polizza assicurativa).

Kaspersky System Watcher

Kaspersky System Watcher è una importantissima tecnologia utilizzata per scoprire le minacce, anche se la minaccia non compare ancora nel database delle firme.

Utilizzando il modulo BSS (Behavior Stream Signatures), System Watcher può prendere autonomamente decisioni sui programmi dannosi sulla base dei dati raccolti. Inoltre, è presente un meccanismo per cui il modulo scambia continuamente informazioni con altri componenti in modo da offrire una individuazione di malware più precisa. System Watcher controlla anche le applicazioni legittime, ma potenzialmente vulnerabili, al fine di difendere il sistema contro gli exploit.

System Watcher tiene traccia di tutti gli eventi importanti che si svolgono nel sistema, come modifiche ai file del sistema operativo e le configurazioni, l’esecuzione dei programmi e lo scambio di dati attraverso la rete. Gli eventi vengono registrati e analizzati e se ci sono tracce che un programma sta effettuando operazioni tipiche di un malware, l’applicazione può essere bloccata, impedendo ulteriori infezioni.

System Watcher, avendo tenuto traccia di tutte le modifiche effettuate è in grado di riportare il sistema all’ultimo stato considerato sicuro, con la massima precisione possibile.

Questa funzionalità è molto utile perché secondo una stima di KasperskyLAB ogni secondo vengono individuate circa 2-3 nuove minacce per un numero complessivo di oltre 200 mila nuove minacce al giorno.

Spesso non si tratta di novità assolute, ma di semplici varianti, ma che possono variare la firma del virus, e mettere in difficoltà un sistema basato sulla sola firma.

Argonavis dispone di tecnici certificati sui prodotti KasperskyLAB, in grado di aiutare il cliente a configurare correttamente la protezione ed ottenere il massimo risultato.

Contattaci per avere maggiori informazioni

Richiedi Informazioni

Categorie