HDDCryptor sovrascrive l’MBR e codifica l’hard disk

Il ransomware denominato HDDCryptor, conosciuto ugualmente con il sinistro appellativo di Mamba, è una nuova variante di malware crittografico preposta ad attaccare il Master Boot Record (MBR) dei computer provvisti di sistema operativo Windows. Modificando l’MBR, in pratica, il computer non riesce più a trovare il settore nel quale risulta collocato l’OS; in tal modo, l’utente non può utilizzare il proprio computer, e non può quindi ottenere, di conseguenza, l’accesso ai propri file. Si tratta di una funzionalità nociva posseduta da tutta una serie di pericolosi malware, ed in particolar modo da Petya e Satana. HDDCryptor, ad ogni caso, non aveva per nulla “brillato”, sino a poco tempo fa, nel panorama del ransomware, visto che tale programma maligno non era stato mai oggetto di diffusione nell’ambito di estese campagne malware. Alla fine dello scorso mese di agosto, tuttavia, il software “estorsore” in questione ha attirato l’attenzione dei ricercatori di Morphus Lab e Trend Micro.

Secondo gli esperti, la distribuzione di HDDCryptor avviene attraverso siti web malevoli. Il codice binario di cui si compone tale malware può essere caricato sul computer-vittima sia direttamente, sia tramite un payload nocivo ausiliario. Il nome del file binario dannoso si compone di tre semplici cifre, ad esempio 123.exe. Una volta lanciata l’esecuzione del file binario in causa, viene effettuato l’upload di alcuni file nella directory root di Windows; due di essi, netpass.exe e dcrypt.exe sono, a tutti gli effetti, dei file legittimi; si tratta, in sostanza, di tool pubblicamente e liberamente accessibili. Netpass.exe è uno strumento gratuito abitualmente utilizzato per il recupero delle password, mentre dcrypt.exe è il file eseguibile di un’utility open-source di cui viene fatto uso per la cifratura del disco (DiskCryptor).

Per garantire la propria persistenza all’interno del sistema sottoposto ad attacco, HDDCryptor provvede a creare un nuovo profilo utente, denominato “mythbusters”, con password “123456”; oltre a questo, il ransomware qui analizzato aggiunge un nuovo servizio, “DefragmentService”, il quale viene eseguito ad ogni avvio del sistema, e la cui funzione consiste nel richiamare il file binario iniziale di cui è provvisto il malware crittografico, ovvero il file .exe con le tre suddette cifre. Quando viene lanciato per la prima volta, il tool netpass.exe esegue un’accurata scansione delle cartelle di rete utilizzate di recente, in cerca delle credenziali in esse custodite. Contemporaneamente, gli altri componenti criptano i file dell’utente-vittima: uno di essi si occupa dell’hard disk; un altro, poi, agisce nei confronti di tutti i drive di rete mappati, incluso quelli che, sul momento, risultano disconnessi, ma che, tuttavia, rimangono ancora collegati fisicamente al computer. Dopo aver completato il processo di codifica, il malware riscrive tutti gli MBR, per tutte le partizioni dei dischi logici; in seguito il computer viene riavviato, senza che si riveli necessaria alcuna interazione da parte dell’utente; infine, compare sullo schermo la richiesta relativa al pagamento del riscatto. Per mettere a disposizione lo strumento necessario per le operazioni di decriptaggio, i malintenzionati richiedono l’equivalente di 700 dollari USD in bitcoin, dopo essersi “premurati” di fornire all’utente istruzioni molto dettagliate riguardo a come, e dove, poter acquistare la nota criptovaluta. Gli hacker promettono inoltre di rivelare, una volta che sarà stato realizzato il pagamento del riscatto, il punto debole del computer che essi sono riusciti a sfruttare, affinché, a detta loro, tale spiacevole situazione “non si ripeta mai più in futuro”. Come osservano giustamente i ricercatori, la precedente versione del malware, diffusa nello scorso mese di gennaio, non forniva affatto “raccomandazioni” così dettagliate ed estese. Una volta ricevuta la necessaria password, l’utente sarà finalmente in grado di avviare il proprio computer.

Per il momento, sul portafoglio bitcoin indicato nella nota elaborata dai cybercriminali per la campagna malware di settembre, sono giunti, complessivamente, quattro pagamenti effettuati dalle vittime del temibile ransomware. Renato Marinho, ricercatore presso Morphus Lab, riferisce che la società presso la quale egli opera è stata incaricata di svolgere approfondite indagini riguardo ad un caso di massiccia infezione informatica di cui è risultata vittima una corporation multinazionale; l’infezione provocata dal ransomware HDDCryptor si è in effetti diffusa sui computer presenti nelle filiali di tale corporation situate in Brasile, India e Stati Uniti.

Fonte: Bleepingcomputer

Post correlati

Lascia un commento

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *