News

Il ransomware Cry utilizza il protocollo UDP, Imgur e Google Maps

Alcuni ricercatori lanciano un preoccupante segnale d’allarme riguardo alla recente comparsa di un nuovo “ceppo” di ransomware. In meno di due settimane, in effetti, sono stati rilevati ben 8.000 casi di un’infezione informatica provocata da un temibile malware destinato all’OS Windows, diffuso a nome di una sedicente agenzia governativa, di fatto inesistente. A giudicare dalla denominazione data alla stessa, Central Security Treatment Organization, dovrebbe trattarsi (in apparenza) di un centro governativo adibito a reagire prontamente nei confronti degli incidenti informatici; secondo le intenzioni dei malfattori, tale “organizzazione”, tra le varie funzioni esercitate, dovrebbe addirittura fornire assistenza agli utenti-vittima nelle operazioni di decodifica dei file cifrati, anche se… a pagamento, naturalmente!

Il malware CryLocker – altrimenti conosciuto con l’appellativo di Cry (in base all’estensione abitualmente assegnata ai file da esso criptati), o come CSTO (acronimo del nome dell’organizzazione “escogitata”, nell’occasione, dai malintenzionati) – è stato individuato, per la prima volta, da un ricercatore noto con il nickname di MalwareHunterTeam. Il nuovo cryptoblocker risulta di particolare interesse, in primo luogo, per il fatto che, per inviare al proprio server C&C i dati raccolti riguardo al sistema informatico infetto, esso ricorre all’utilizzo del protocollo UDP (User Datagram Protocol). CryLocker “custodisce” poi tali informazioni su siti web pubblicamente accessibili, quali, ad esempio, Imgur.com, il noto servizio di hosting immagini; il malware in questione, inoltre, è in grado di definire, anche se approssimativamente, l’ubicazione geografica della vittima, sfruttando il celebre servizio Google Maps.

L’analisi del relativo sample è stata condotta, congiuntamente, dalla “squadra” composta da MalwareHunterTeam, Daniel Gallagher, ricercatore specializzato in sicurezza IT, e Lawrence Abrams, il fondatore di BleepingComputer. I risultati preliminari dell’indagine svolta, sono stati riassunti, da quest’ultimo, in un apposito blog post pubblicato su BleepingComputer.com; qui, Lawrence Abrams ha sottolineato il fatto che l’analisi del malware non poteva di certo dichiararsi conclusa, e come numerosi dettagli non fossero ancora ben chiari. Innanzitutto, al momento della pubblicazione del post, non si conosceva ancora il metodo di diffusione praticato da CryLocker; successivamente, Lawrence ha provveduto ad aggiornare la notizia da egli fornita in precedenza, riferendo che la distribuzione del nuovo ransomware veniva effettuata, con ogni probabilità, mediante l’utilizzo di un exploit pack di medio livello. Al momento attuale, tuttavia, non è dato sapere se i file cifrati possono essere ripristinati senza dover effettuare il pagamento del riscatto richiesto dai cybercriminali.

Ai giornalisti di Threatpost, Lawrence Abrams ha dichiarato che, al 2 settembre scorso, proprio nel momento in cui egli si accingeva ad avviare l’analisi di CryLocker assieme a MalwareHunterTeam, il ransomware in causa aveva già mietuto, all’incirca, 3.200 vittime. Due giorni dopo, tale cifra era di fatto lievitata a 6.800 unità; la successiva analisi, condotta il 5 settembre, evidenziava poi come il numero degli utenti-vittima avesse già raggiunto quota 8.000. Il nuovo blocker, verosimilmente, si trova ancora nella sua fase di sviluppo: prova ne è il fatto che, il 6 settembre scorso, Daniel Gallagher ha individuato un nuovo sample del ransomware Cry.

Al pari di molti altri malware “estorsori”, CryLocker genera, sul computer-vittima, due file contenenti la richiesta di pagamento del riscatto: si tratta, più precisamente, di <Recovery_[caratteri_casuali].html> e <!Recovery_[caratteri_casuali].txtencrypts>. Per poter effettuare la decodifica dei file compromessi viene richiesta una somma in bitcoin pari a 625 dollari USD, in qualità di “commissioni” da riconoscere alla sedicente agenzia governativa CSTO. Il sito web allestito per “consentire” le operazioni di pagamento dell’importo richiesto risulta collocato negli oscuri meandri della rete anonima Tor, ed utilizza alcuni elementi propri dei loghi di CIA ed FBI.

CSTO

Le informazioni relative alla vittima (versione di Windows utilizzata, nome del computer, tipo di CPU) vengono inviate, da parte del malware Cry, a 4.000 diversi indirizzi IP; uno di essi è, di fatto, l’indirizzo del server C&C. Lawrence Abrams ritiene che i malintenzionati utilizzino questo singolare “trucco” per cercare di nascondere al meglio la vera location del server di comando e controllo, ed impedire, quindi, che quest’ultimo possa essere bloccato e neutralizzato. Ricordiamo, a tal proposito, che un simile camuffamento veniva utilizzato anche dal famigerato ransomware Cerber. Nello scorso mese di maggio, i ricercatori di Invincea avevano scoperto una variante di tale blocker in grado di generare un flusso impressionante di pacchetti UDP nell’ambito delle sottoreti, attraverso la porta 6892. Gli esperti non escludono che, sostituendo l’indirizzo IP relativo alla fonte delle query, i malintenzionati avrebbero potuto agevolmente reindirizzare le risposte verso il target prescelto, provocando, in tal modo, un vero e proprio attacco Distributed Denial of Service.

Utilizzando gli album fotografici di Imgur in qualità di repository dei dati carpiti alla vittima, CryLocker trasforma questi ultimi in veste di file immagine PNG. “Una volta completata con successo l’operazione di upload del file nella photo gallery, Imgur restituisce un filename univoco, – scrive Abrams. – Il nome del file viene in seguito trasmesso (non sempre), attraverso il protocollo UDP, a tutti i 4.096 diversi indirizzi IP, in modo tale da notificare al server C&C l’effettiva comparsa di una nuova vittima”.

L’analisi condotta dagli esperti ha ugualmente evidenziato come CryLocker richiami l’interfaccia API di Google Maps, allo scopo di determinare gli identificatori SSID (Service Set Identifier) dei pacchetti inviati dalle reti wireless situate nelle vicinanze. Il malware è in grado di ottenere l’elenco di tali reti, ed i rispettivi SSID, sfruttando la funzione di Windows denominata WlanGetNetworkBssList. Dopo aver richiesto tutti gli identificatori SSID visibili da parte della macchina infetta, CryLocker, servendosi di Google Maps, è in grado di individuare, anche se in maniera piuttosto approssimativa, la location dell’utente. Una simile informazione può di sicuro rivelarsi particolarmente preziosa, anche se non siamo a conoscenza, al momento, degli effettivi scopi che, nella circostanza, si prefiggono gli estorsori; Lawrence Abrams è tuttavia convinto che l’eventuale rivelazione di tali dati possa incutere ancora maggior timore alla vittima, e convincere definitivamente quest’ultima ad effettuare il pagamento del riscatto.

Commentando con Threatpost la specifica situazione, l’esperto ha avanzato l’ipotesi che i malfattori possano aver lanciato la loro offensiva già verso la fine del mese di agosto. Ad ogni caso, lo scorso 25 agosto, il virus writer che ha sviluppato il ransomware CryLocker aveva già testato l’upload di file PNG, utilizzando, nella circostanza, la stringa unica LOLWTFAMIDOINGHERE (“ma cosa diavolo ci faccio qui?”).

Fonte: Threatpost

Il ransomware Cry utilizza il protocollo UDP, Imgur e Google Maps

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *

 

Report

Evoluzione dei malware mobile – 2016

Ha continuato a crescere in maniera davvero sensibile, nel corso del 2016, il numero dei Trojan pubblicitari in grado di utilizzare i diritti di superutente. Si è trattato, lungo tutto l’arco dell’anno, della minaccia informatica numero 1; al momento attuale non scorgiamo, peraltro, validi motivi ed argomenti che lascino intravedere qualche cambiamento riguardo a tale specifica tendenza.

Lo spam nell’anno 2016

Nel 2016, all’interno dei flussi di spam, si sono verificati diversi cambiamenti; tra di essi, quello più significativo riguarda il sensibile aumento del numero di mailing di massa preposte alla distribuzione dei temibili programmi ransomware. Considerando l’effettiva disponibilità, sul mercato nero, di simili software nocivi, è presumibile che tale tendenza continui a manifestarsi anche nell’anno in corso.

Kaspersky Security Bulletin 2016. Rassegna annuale. Le statistiche dell’anno 2016

Il 2016 è stato, nell’ambito della cyber sicurezza, un anno davvero intenso e turbolento, caratterizzato da imponenti botnet IoT, ransomware, attacchi mirati di cyber spionaggio, ingenti furti nella sfera finanziaria, “hacktivismo” e molto altro ancora. Il Kaspersky Security Bulletin 2016 e il report Statistics di Kaspersky Lab forniscono un quadro dettagliato della situazione; qui, invece, si può leggere l’Executive Summary.

Kaspersky Security Bulletin 2016. La rivoluzione del ransomware

Tra gennaio e settembre 2016 gli attacchi ransomware diretti alle imprese sono aumentati di tre volte, fino all’equivalente di un attacco ogni 40 secondi. Con il boom del ransomware-as-a-service, ed il lancio del progetto NoMoreRansom, Kaspersky Lab ha definito il ransomware come il proprio “tema chiave” per il 2016.

Iscriviti alle nostre e-mail settimanali

La ricerca più all'avanguardia, direttamente nella tua inbox