Entra in campo Mischa, il sostituto di Petya

Il ransomware Petya, comparso sulla scena del cybercrimine nel mese di marzo, ha di sicuro segnato una nuova direzione nello sviluppo dei cryptoblocker. Si è trattato, in effetti, del primo caso in cui un malware del genere si è spinto oltre la “semplice” codifica dei file a livello di drive locali e unità disco condivise, avendo di fatto scelto, in qualità di target, la Master File Table.

Petya, tuttavia, non si è dimostrato privo di pecche; in tal modo, i ricercatori sono riusciti a creare, piuttosto rapidamente, uno strumento in grado di ripristinare alcuni file criptati dal ransomware in causa. Come era lecito attendersi, anche i malintenzionati non hanno perso il loro tempo, ed hanno trovato il modo di bypassare un ulteriore “difetto” di Petya, ovvero l’effettiva dipendenza di tale ransomware dalla volontà dell’utente-vittima, la quale, in pratica, costituisce l’elemento indispensabile per far sì che il malware possa acquisire i diritti di amministratore, necessari per accedere all’MFT.

La scorsa settimana è stato individuato un nuovo installer di Petya, in grado di mettere in atto un vero e proprio “scenario di riserva”. Se, nel momento in cui viene lanciato, il malware non riesce ad ottenere i privilegi di amministratore, sulla macchina infetta viene installato, in sostituzione, un altro cryptoblocker – Mischa.

Secondo Lawrence Abrams, esperto di minacce Internet e fondatore di BleepingComputer, i diritti di amministratore, indispensabili per il funzionamento di Petya, vengono indicati proprio nel manifesto dell’eseguibile originale. “Prima dell’esecuzione del codice, Windows fa sì che l’utente visualizzi una finestra di dialogo UAC, attraverso la quale, in sostanza, vengono richiesti tali privilegi, – ha dichiarato Abrams a Threatpost, commentando la specifica situazione. – Se il servizio UAC risulta disabilitato, il programma verrà automaticamente eseguito [con i diritti di amministratore]. Allo stesso tempo, se l’utente clicca su ‘No’ all’interno della finestra UAC, il programma non si avvierà e, di conseguenza, non verrà effettuata l’installazione di Petya”.

Lawrence Abrams ha inoltre sottolineato come ogni installazione non riuscita significhi, per gli operatori di Petya, semplicemente “buttar via dei soldi”. Per rimediare a tale situazione, questi ultimi hanno quindi provveduto ad impacchettare, assieme all’installer, un ulteriore blocker, Mischa, il quale viene eseguito nel caso in cui la variante Petya non abbia buon esito.

Nel manifesto della nuova versione si indica che, per il funzionamento della stessa, occorrono le credenziali dell’utente. In tal modo, Windows permette l’avvio del programma, senza mostrare alcun avviso UAC. “Nel momento in cui viene avviata l’esecuzione dell’installer, conformemente alle proprie impostazioni, quest’ultimo richiede i diritti di amministratore, – commenta Abrams. – All’utente viene quindi mostrata la finestra UAC, e se lo stesso clicca su ‘Sì’, o nel caso in cui il servizio UAC risulti disattivato, il programma otterrà i diritti di amministratore, ed installerà quindi Petya. Se, invece, i diritti di amministratore non vengono acquisiti, esso provvederà ad installare Mischa. Una soluzione davvero astuta”.

gmaimage

Petya, nel frattempo, continua ad attaccare i funzionari degli uffici del personale di società tedesche, attraverso messaggi di spam provvisti di un apposito link, destinato a condurre verso un file maligno, situato in un popolare cloud storage. Inizialmente, gli attacker utilizzavano, per questo preciso scopo, il noto servizio Dropbox; una volta bloccati i link malevoli a Dropbox, i malfattori sono passati all’impiego di TelekomCloud, analogo servizio di storage di matrice tedesca. Il file eseguibile viene mascherato sotto forma di documento PDF, contenente il curriculum vitae di un sedicente candidato che aspira ad occupare un posto vacante; il documento fasullo, in genere, presenta persino la foto della persona “interessata” all’impiego.

“Quando viene scaricato il file eseguibile, sullo schermo dell’utente compare l’icona che contraddistingue i PDF; questo dà l’impressione che si tratti realmente di un CV in formato PDF, – constata Abrams. – Una volta avviato, però, il file in questione cerca di installare Petya e, in caso di insuccesso, il ransomware Mischa”.

In termini di comportamento, Mischa non si differenzia dagli altri cryptoblocker standard.

Esso effettua la scansione del disco locale, alla ricerca dei file provvisti di determinate estensioni; in seguito, Mischa codifica i propri specifici target per mezzo di una chiave AES, aggiungendo al nome del file un’estensione formata da quattro caratteri, quali, ad esempio, 7GP3. “Nel cifrare il file, il nuovo arrivato salva la chiave, codificata, nella parte finale del file così ottenuto, – riferisce il fondatore di BleepingComputer. – Purtroppo, esso cifra non solo i file abitualmente presi di mira in tali casi (PNG, JPG, DOCX, etc.), ma anche gli .EXE”.

Dopo aver terminato il proprio “lavoro”, Mischa richiede, per avviare le operazioni di decodifica, il pagamento di un riscatto pari a 1,93 bitcoin (circa 875 dollari USD), da effettuare attraverso un sito nascosto nella rete Tor. Per il momento, non è stato ancora creato il decryptor in grado di neutralizzare tale malware. “Si raccomanda sempre, alle vittime del ransomware, di verificare, innanzitutto, l’integrità delle copie shadow, ricorrendo all’utilizzo di Shadow Explorer, – ha dichiarato, infine, Lawrence Abrams. – Tali copie, in effetti, possono rivelarsi utili per il ripristino delle precedenti versioni dei file crittografati”.

Fonte: Threatpost

Post correlati

Lascia un commento

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *