Estorsioni attraverso l’utilizzo di attacchi brute-force

Nello scorso mese di ottobre, in Bulgaria e Grecia è stato individuato, per la prima volta, un nuovo temibile cryptoblocker, il quale ha subito attirato l’attenzione di BleepingComputer.com. Come hanno evidenziato le analisi effettuate dagli esperti, tale ransomware si propaga, con ogni probabilità, attraverso attacchi brute-force diretti alle password che consentono l’accesso ai computer Windows sui quali risultano attivati i servizi di connessione remota (Remote Desktop/Terminal Services). Il ransomware utilizza gli algoritmi di cifratura AES e RSA, riuscendo a mascherare accuratamente le tracce lasciate nel sistema. È interessante notare come tale malware, almeno per il momento, non elimini le copie shadow dei file sottoposti a codifica; esso lascia pertanto alla vittima la possibilità di recuperare i dati.

Le analisi svolte hanno ugualmente dimostrato come, al momento dell’attivazione, il blocker LowLevel04 (così denominato per la specifica stringa supplementare da esso aggiunta su tutti i file codificati) generi le apposite chiavi, ed avvii il processo di cifratura dei file contenenti dati, sulla base di un’impressionante elenco di estensioni. La scansione viene condotta su tutti i dischi collegati, incluso le unità rimovibili e i drive di rete; i file codificati vengono poi caricati in una cartella temporanea allestita dai malintenzionati, mediante la connessione del disco attraverso i servizi terminal.

Una volta trovato il file provvisto di una determinata estensione, LowLevel04 ne cifra il contenuto per mezzo di una chiave AES, ed aggiunge il prefisso oorr. all’inizio del nome originale. Il processo di modifica del file viene eseguito in maniera tale da agevolare la codifica dello stesso; il formato finale risulta quindi provvisto di vari “strati” di informazione: il contenuto originale crittografato, la dimensione del file originale codificato tramite la chiave di cifratura RSA, la dimensione della chiave e della stringa lowlevel04, la quale identifica il blocker in questione.

Il malware provvede ad aggiungere, ad ogni cartella adibita a custodire i file codificati, un file denominato help recover files.txt, il quale contiene la richiesta relativa al pagamento del riscatto, e le istruzioni per ricevere il programma di sblocco. I cybercriminali estorsori comunicano alla vittima che i file sono stati criptati mediante la chiave di cifratura RSA-2048, particolarmente solida, e che la relativa operazione di decodifica potrà essere eseguita solo dopo aver effettuato il pagamento di un importo pari a 4 bitcoin (circa 1.000 dollari USD); nella circostanza, i malintenzionati offrono, “generosamente”, alcuni indirizzi e-mail di contatto – @gmail.com e @india.com – per una prova gratuita.

“Per ciò che riguarda molte delle vittime di tale ransomware, sono stati proprio i server ad essere infettati dal malware; tale circostanza, ad ogni caso, non ci deve sorprendere più di tanto: questo genere di attacco informatico, in effetti, è in grado di perturbare in maniera considerevole le attività di business di una società”, – afferma Lawrence Abrams, fondatore e caporedattore di BleepingComputer.com.

Una volta completato il processo di codifica, LowLevel04 esegue un cleanup di tutti i file da esso creati, e poi provvede ad eliminare gli stessi. Esso rimuove ugualmente tutti i log degli eventi che lo riguardano, a livello di registro delle applicazioni, dei sistemi di protezione e dello stesso Windows. L’unica notizia confortante è il fatto che il sample di malware sottoposto ad analisi non riesce ad eliminare correttamente i file originali, per cui questi ultimi possono essere ripristinati per mezzo di un apposito tool. Il cryptoblocker, allo stesso modo, non rimuove le copie shadow, per cui è possibile provare a recuperare i file attraverso gli strumenti di Windows. È tuttavia probabile che le nuove versioni del ransomware correggano tale “difetto”, per cui le soluzioni qui sopra indicate potrebbero non rivelarsi efficaci, in futuro.

Fonte: Bleepingcomputer

Post correlati

Lascia un commento

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *