Il ransomware Cry utilizza il protocollo UDP, Imgur e Google Maps

Alcuni ricercatori lanciano un preoccupante segnale d’allarme riguardo alla recente comparsa di un nuovo “ceppo” di ransomware. In meno di due settimane, in effetti, sono stati rilevati ben 8.000 casi di un’infezione informatica provocata da un temibile malware destinato all’OS Windows, diffuso a nome di una sedicente agenzia governativa, di fatto inesistente. A giudicare dalla denominazione data alla stessa, Central Security Treatment Organization, dovrebbe trattarsi (in apparenza) di un centro governativo adibito a reagire prontamente nei confronti degli incidenti informatici; secondo le intenzioni dei malfattori, tale “organizzazione”, tra le varie funzioni esercitate, dovrebbe addirittura fornire assistenza agli utenti-vittima nelle operazioni di decodifica dei file cifrati, anche se… a pagamento, naturalmente!

Il malware CryLocker – altrimenti conosciuto con l’appellativo di Cry (in base all’estensione abitualmente assegnata ai file da esso criptati), o come CSTO (acronimo del nome dell’organizzazione “escogitata”, nell’occasione, dai malintenzionati) – è stato individuato, per la prima volta, da un ricercatore noto con il nickname di MalwareHunterTeam. Il nuovo cryptoblocker risulta di particolare interesse, in primo luogo, per il fatto che, per inviare al proprio server C&C i dati raccolti riguardo al sistema informatico infetto, esso ricorre all’utilizzo del protocollo UDP (User Datagram Protocol). CryLocker “custodisce” poi tali informazioni su siti web pubblicamente accessibili, quali, ad esempio, Imgur.com, il noto servizio di hosting immagini; il malware in questione, inoltre, è in grado di definire, anche se approssimativamente, l’ubicazione geografica della vittima, sfruttando il celebre servizio Google Maps.

L’analisi del relativo sample è stata condotta, congiuntamente, dalla “squadra” composta da MalwareHunterTeam, Daniel Gallagher, ricercatore specializzato in sicurezza IT, e Lawrence Abrams, il fondatore di BleepingComputer. I risultati preliminari dell’indagine svolta, sono stati riassunti, da quest’ultimo, in un apposito blog post pubblicato su BleepingComputer.com; qui, Lawrence Abrams ha sottolineato il fatto che l’analisi del malware non poteva di certo dichiararsi conclusa, e come numerosi dettagli non fossero ancora ben chiari. Innanzitutto, al momento della pubblicazione del post, non si conosceva ancora il metodo di diffusione praticato da CryLocker; successivamente, Lawrence ha provveduto ad aggiornare la notizia da egli fornita in precedenza, riferendo che la distribuzione del nuovo ransomware veniva effettuata, con ogni probabilità, mediante l’utilizzo di un exploit pack di medio livello. Al momento attuale, tuttavia, non è dato sapere se i file cifrati possono essere ripristinati senza dover effettuare il pagamento del riscatto richiesto dai cybercriminali.

Ai giornalisti di Threatpost, Lawrence Abrams ha dichiarato che, al 2 settembre scorso, proprio nel momento in cui egli si accingeva ad avviare l’analisi di CryLocker assieme a MalwareHunterTeam, il ransomware in causa aveva già mietuto, all’incirca, 3.200 vittime. Due giorni dopo, tale cifra era di fatto lievitata a 6.800 unità; la successiva analisi, condotta il 5 settembre, evidenziava poi come il numero degli utenti-vittima avesse già raggiunto quota 8.000. Il nuovo blocker, verosimilmente, si trova ancora nella sua fase di sviluppo: prova ne è il fatto che, il 6 settembre scorso, Daniel Gallagher ha individuato un nuovo sample del ransomware Cry.

Al pari di molti altri malware “estorsori”, CryLocker genera, sul computer-vittima, due file contenenti la richiesta di pagamento del riscatto: si tratta, più precisamente, di <Recovery_[caratteri_casuali].html> e <!Recovery_[caratteri_casuali].txtencrypts>. Per poter effettuare la decodifica dei file compromessi viene richiesta una somma in bitcoin pari a 625 dollari USD, in qualità di “commissioni” da riconoscere alla sedicente agenzia governativa CSTO. Il sito web allestito per “consentire” le operazioni di pagamento dell’importo richiesto risulta collocato negli oscuri meandri della rete anonima Tor, ed utilizza alcuni elementi propri dei loghi di CIA ed FBI.

CSTO

Le informazioni relative alla vittima (versione di Windows utilizzata, nome del computer, tipo di CPU) vengono inviate, da parte del malware Cry, a 4.000 diversi indirizzi IP; uno di essi è, di fatto, l’indirizzo del server C&C. Lawrence Abrams ritiene che i malintenzionati utilizzino questo singolare “trucco” per cercare di nascondere al meglio la vera location del server di comando e controllo, ed impedire, quindi, che quest’ultimo possa essere bloccato e neutralizzato. Ricordiamo, a tal proposito, che un simile camuffamento veniva utilizzato anche dal famigerato ransomware Cerber. Nello scorso mese di maggio, i ricercatori di Invincea avevano scoperto una variante di tale blocker in grado di generare un flusso impressionante di pacchetti UDP nell’ambito delle sottoreti, attraverso la porta 6892. Gli esperti non escludono che, sostituendo l’indirizzo IP relativo alla fonte delle query, i malintenzionati avrebbero potuto agevolmente reindirizzare le risposte verso il target prescelto, provocando, in tal modo, un vero e proprio attacco Distributed Denial of Service.

Utilizzando gli album fotografici di Imgur in qualità di repository dei dati carpiti alla vittima, CryLocker trasforma questi ultimi in veste di file immagine PNG. “Una volta completata con successo l’operazione di upload del file nella photo gallery, Imgur restituisce un filename univoco, – scrive Abrams. – Il nome del file viene in seguito trasmesso (non sempre), attraverso il protocollo UDP, a tutti i 4.096 diversi indirizzi IP, in modo tale da notificare al server C&C l’effettiva comparsa di una nuova vittima”.

L’analisi condotta dagli esperti ha ugualmente evidenziato come CryLocker richiami l’interfaccia API di Google Maps, allo scopo di determinare gli identificatori SSID (Service Set Identifier) dei pacchetti inviati dalle reti wireless situate nelle vicinanze. Il malware è in grado di ottenere l’elenco di tali reti, ed i rispettivi SSID, sfruttando la funzione di Windows denominata WlanGetNetworkBssList. Dopo aver richiesto tutti gli identificatori SSID visibili da parte della macchina infetta, CryLocker, servendosi di Google Maps, è in grado di individuare, anche se in maniera piuttosto approssimativa, la location dell’utente. Una simile informazione può di sicuro rivelarsi particolarmente preziosa, anche se non siamo a conoscenza, al momento, degli effettivi scopi che, nella circostanza, si prefiggono gli estorsori; Lawrence Abrams è tuttavia convinto che l’eventuale rivelazione di tali dati possa incutere ancora maggior timore alla vittima, e convincere definitivamente quest’ultima ad effettuare il pagamento del riscatto.

Commentando con Threatpost la specifica situazione, l’esperto ha avanzato l’ipotesi che i malfattori possano aver lanciato la loro offensiva già verso la fine del mese di agosto. Ad ogni caso, lo scorso 25 agosto, il virus writer che ha sviluppato il ransomware CryLocker aveva già testato l’upload di file PNG, utilizzando, nella circostanza, la stringa unica LOLWTFAMIDOINGHERE (“ma cosa diavolo ci faccio qui?”).

Fonte: Threatpost

Post correlati

Lascia un commento

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *