News

Entra in campo Mischa, il sostituto di Petya

Il ransomware Petya, comparso sulla scena del cybercrimine nel mese di marzo, ha di sicuro segnato una nuova direzione nello sviluppo dei cryptoblocker. Si è trattato, in effetti, del primo caso in cui un malware del genere si è spinto oltre la “semplice” codifica dei file a livello di drive locali e unità disco condivise, avendo di fatto scelto, in qualità di target, la Master File Table.

Petya, tuttavia, non si è dimostrato privo di pecche; in tal modo, i ricercatori sono riusciti a creare, piuttosto rapidamente, uno strumento in grado di ripristinare alcuni file criptati dal ransomware in causa. Come era lecito attendersi, anche i malintenzionati non hanno perso il loro tempo, ed hanno trovato il modo di bypassare un ulteriore “difetto” di Petya, ovvero l’effettiva dipendenza di tale ransomware dalla volontà dell’utente-vittima, la quale, in pratica, costituisce l’elemento indispensabile per far sì che il malware possa acquisire i diritti di amministratore, necessari per accedere all’MFT.

La scorsa settimana è stato individuato un nuovo installer di Petya, in grado di mettere in atto un vero e proprio “scenario di riserva”. Se, nel momento in cui viene lanciato, il malware non riesce ad ottenere i privilegi di amministratore, sulla macchina infetta viene installato, in sostituzione, un altro cryptoblocker – Mischa.

Secondo Lawrence Abrams, esperto di minacce Internet e fondatore di BleepingComputer, i diritti di amministratore, indispensabili per il funzionamento di Petya, vengono indicati proprio nel manifesto dell’eseguibile originale. “Prima dell’esecuzione del codice, Windows fa sì che l’utente visualizzi una finestra di dialogo UAC, attraverso la quale, in sostanza, vengono richiesti tali privilegi, – ha dichiarato Abrams a Threatpost, commentando la specifica situazione. – Se il servizio UAC risulta disabilitato, il programma verrà automaticamente eseguito [con i diritti di amministratore]. Allo stesso tempo, se l’utente clicca su ‘No’ all’interno della finestra UAC, il programma non si avvierà e, di conseguenza, non verrà effettuata l’installazione di Petya”.

Lawrence Abrams ha inoltre sottolineato come ogni installazione non riuscita significhi, per gli operatori di Petya, semplicemente “buttar via dei soldi”. Per rimediare a tale situazione, questi ultimi hanno quindi provveduto ad impacchettare, assieme all’installer, un ulteriore blocker, Mischa, il quale viene eseguito nel caso in cui la variante Petya non abbia buon esito.

Nel manifesto della nuova versione si indica che, per il funzionamento della stessa, occorrono le credenziali dell’utente. In tal modo, Windows permette l’avvio del programma, senza mostrare alcun avviso UAC. “Nel momento in cui viene avviata l’esecuzione dell’installer, conformemente alle proprie impostazioni, quest’ultimo richiede i diritti di amministratore, – commenta Abrams. – All’utente viene quindi mostrata la finestra UAC, e se lo stesso clicca su ‘Sì’, o nel caso in cui il servizio UAC risulti disattivato, il programma otterrà i diritti di amministratore, ed installerà quindi Petya. Se, invece, i diritti di amministratore non vengono acquisiti, esso provvederà ad installare Mischa. Una soluzione davvero astuta”.

gmaimage

Petya, nel frattempo, continua ad attaccare i funzionari degli uffici del personale di società tedesche, attraverso messaggi di spam provvisti di un apposito link, destinato a condurre verso un file maligno, situato in un popolare cloud storage. Inizialmente, gli attacker utilizzavano, per questo preciso scopo, il noto servizio Dropbox; una volta bloccati i link malevoli a Dropbox, i malfattori sono passati all’impiego di TelekomCloud, analogo servizio di storage di matrice tedesca. Il file eseguibile viene mascherato sotto forma di documento PDF, contenente il curriculum vitae di un sedicente candidato che aspira ad occupare un posto vacante; il documento fasullo, in genere, presenta persino la foto della persona “interessata” all’impiego.

“Quando viene scaricato il file eseguibile, sullo schermo dell’utente compare l’icona che contraddistingue i PDF; questo dà l’impressione che si tratti realmente di un CV in formato PDF, – constata Abrams. – Una volta avviato, però, il file in questione cerca di installare Petya e, in caso di insuccesso, il ransomware Mischa”.

In termini di comportamento, Mischa non si differenzia dagli altri cryptoblocker standard.

Esso effettua la scansione del disco locale, alla ricerca dei file provvisti di determinate estensioni; in seguito, Mischa codifica i propri specifici target per mezzo di una chiave AES, aggiungendo al nome del file un’estensione formata da quattro caratteri, quali, ad esempio, 7GP3. “Nel cifrare il file, il nuovo arrivato salva la chiave, codificata, nella parte finale del file così ottenuto, – riferisce il fondatore di BleepingComputer. – Purtroppo, esso cifra non solo i file abitualmente presi di mira in tali casi (PNG, JPG, DOCX, etc.), ma anche gli .EXE”.

Dopo aver terminato il proprio “lavoro”, Mischa richiede, per avviare le operazioni di decodifica, il pagamento di un riscatto pari a 1,93 bitcoin (circa 875 dollari USD), da effettuare attraverso un sito nascosto nella rete Tor. Per il momento, non è stato ancora creato il decryptor in grado di neutralizzare tale malware. “Si raccomanda sempre, alle vittime del ransomware, di verificare, innanzitutto, l’integrità delle copie shadow, ricorrendo all’utilizzo di Shadow Explorer, – ha dichiarato, infine, Lawrence Abrams. – Tali copie, in effetti, possono rivelarsi utili per il ripristino delle precedenti versioni dei file crittografati”.

Fonte: Threatpost

Entra in campo Mischa, il sostituto di Petya

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *

 

Report

Evoluzione dei malware mobile – 2016

Ha continuato a crescere in maniera davvero sensibile, nel corso del 2016, il numero dei Trojan pubblicitari in grado di utilizzare i diritti di superutente. Si è trattato, lungo tutto l’arco dell’anno, della minaccia informatica numero 1; al momento attuale non scorgiamo, peraltro, validi motivi ed argomenti che lascino intravedere qualche cambiamento riguardo a tale specifica tendenza.

Lo spam nell’anno 2016

Nel 2016, all’interno dei flussi di spam, si sono verificati diversi cambiamenti; tra di essi, quello più significativo riguarda il sensibile aumento del numero di mailing di massa preposte alla distribuzione dei temibili programmi ransomware. Considerando l’effettiva disponibilità, sul mercato nero, di simili software nocivi, è presumibile che tale tendenza continui a manifestarsi anche nell’anno in corso.

Kaspersky Security Bulletin 2016. Rassegna annuale. Le statistiche dell’anno 2016

Il 2016 è stato, nell’ambito della cyber sicurezza, un anno davvero intenso e turbolento, caratterizzato da imponenti botnet IoT, ransomware, attacchi mirati di cyber spionaggio, ingenti furti nella sfera finanziaria, “hacktivismo” e molto altro ancora. Il Kaspersky Security Bulletin 2016 e il report Statistics di Kaspersky Lab forniscono un quadro dettagliato della situazione; qui, invece, si può leggere l’Executive Summary.

Kaspersky Security Bulletin 2016. La rivoluzione del ransomware

Tra gennaio e settembre 2016 gli attacchi ransomware diretti alle imprese sono aumentati di tre volte, fino all’equivalente di un attacco ogni 40 secondi. Con il boom del ransomware-as-a-service, ed il lancio del progetto NoMoreRansom, Kaspersky Lab ha definito il ransomware come il proprio “tema chiave” per il 2016.

Iscriviti alle nostre e-mail settimanali

La ricerca più all'avanguardia, direttamente nella tua inbox