Il ransomware Bucbi torna sotto una nuova veste

Il cryptoblocker Bucbi, comparso sulla scena del malware due anni fa, è divenuto, di fatto, molto più “esigente” e selettivo nelle proprie “scelte”, visto che utilizza, attualmente, gli attacchi brute-force.

I ricercatori di Palo Alto Networks hanno scoperto, di recente, una nuova versione di Bucbi su un OS Windows Server infetto; nella circostanza, per procedere alle operazioni di decodifica, il malware richiedeva al proprietario del server compromesso il pagamento di un riscatto pari a 5 bitcoin (2.320 dollari USD). L’analisi condotta dagli esperti ha evidenziato che gli “operatori” della versione aggiornata del blocker non distribuiscono più Bucbi a tappeto (ricercando vittime casuali), come avveniva due anni fa, ma eseguono, piuttosto, attacchi mirati.

“In passato, questo ransomware attaccava le proprie vittime in maniera indiscriminata, senza effettuare alcuna selezione, e veniva distribuito attraverso l’utilizzo congiunto di e-mail dannose e di siti web malevoli, – ha dichiarato Ryan Olson, direttore della ricerca antivirus condotta da Palo Alto Networks, nel corso di un’intervista rilasciata a Threatpost. – I malintenzionati, adesso, hanno cambiato tattica e praticano attivamente gli attacchi brute-force”.

Secondo Olson, il principale oggetto di interesse, per il nuovo Bucbi, è rappresentato dalle reti aziendali al cui interno operano server RDP accessibili da Internet. Per ottenere l’accesso a tali server Windows, gli attacker si avvalgono di una specifica utility, denominata RDP Brute, la quale è in grado di carpire le password mediante i famigerati “attacchi vocabolario”.

I ricercatori, nel report da essi stilato, hanno avanzato l’ipotesi per cui, a giudicare dall’elenco delle credenziali utilizzate nel tentativo di violare i server RDP, i principali target presi di mira dai malintenzionati sembrano essere costituiti dai sistemi PoS. Tale elenco comprende, in effetti, username ben specifici, quali, ad esempio, FuturePos, KahalaPOS, BPOS. “È del tutto verosimile che questo attacco abbia avuto inizio con la ricerca (da parte degli aggressori) dei dispositivi PoS; tuttavia, dopo essere riusciti a compromettere i PoS, i malfattori hanno visibilmente cambiato la loro tattica, non appena hanno scoperto che attraverso i dispositivi violati non venivano condotte transazioni finanziarie”, – sostengono gli esperti di Palo Alto.

Un elemento di novità è di sicuro rappresentato dalla rinuncia, da parte del ransomware Bucbi, a far uso delle connessioni HTTP per comunicare con il proprio server di comando. In alternativa, gli attacker assumono semplicemente il pieno controllo RDP (remote desktop control) sul sistema preso di mira.

“Bucbi si rivela davvero unico per il fatto che esso è ben più di un “semplice” malware dispiegato per condurre attacchi ransomware in maniera automatizzata, – afferma Olson. – Nel corso degli ultimi due anni, in effetti, esso ha compiuto una significativa evoluzione, trasformandosi in uno strumento che può essere utilizzato per la ricerca di dati sensibili, per raccogliere informazioni sulla struttura di una rete e per la codifica dei file”.

Un’ulteriore caratteristica peculiare di Bucbi – per il momento non ancora confermata – è rappresentata dalla motivazione politica degli attacchi di cui è protagonista tale malware – almeno così sostengono coloro che fanno uso del cryptoblocker in causa. “Non abbiamo trovato da nessuna parte le prove della veridicità di quanto affermano gli estorsori”, – constata Ryan Olson.

Nel corso dell’analisi eseguita sono stati comunque individuati numerosi indizi e segnali in base ai quali risulta possibile stabilire a chi poter ricondurre, di fatto, i nuovi attacchi sferrati tramite Bucbi; in particolar modo, l’indirizzo di posta elettronica indicato nel messaggio attraverso il quale si richiede il pagamento del riscatto, è stato identificato, dai ricercatori, come appartenente ai nazionalisti ucraini di “Pravyi Sektor”, partito politico di estrema destra.

Durante l’intervista rilasciata da Olson ai giornalisti di Threatpost, il ricercatore di Palo Alto ha ugualmente osservato che Bucbi è il tipico rappresentante di un modello di business cybercriminale particolarmente fiorente ed in voga al momento attuale, basato sulla codifica delle informazioni a scopo ricattatorio, anziché sul furto e sulla successiva rivendita delle stesse. “Se io fossi un malintenzionato, ed avessi l’intenzione di compromettere il sistema informatico di un complesso ospedaliero, potrei decidere di sottrarre un’enorme quantità di dati personali e di dati clinici relativi ai pazienti; ad ogni caso, la trasformazione di un simile “bottino” in denaro e, di conseguenza, in una redditizia voce di profitto, non si presenta come un’impresa delle più facili, – ha dichiarato l’esponente della società californiana sopra menzionata. – L’utilizzo dei software estorsori significa, in pratica, che tutti i sistemi soggetti a possibile compromissione rappresentano, potenzialmente, qualcosa di “prezioso”, per i criminali informatici”.

Fonte: Threatpost

Post correlati

Lascia un commento

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *