FireCrypt, il ransomware con funzionalità DDoS

Il ransomware FireCrypt non si limita alla cifratura dei file; in effetti, esso tenta ugualmente di lanciare un attacco DDoS, anche se di debole intensità. Il nuovo malware, di tipo ibrido-polimorfico, è stato scoperto dai ricercatori di MalwareHunterTeam, ed è stato poi analizzato da Lawrence Abrams, di BleepingComputer.

Secondo la descrizione fornita su BleepingComputer.com, l’autore di FireCrypt crea file eseguibili unici avvalendosi del “builder” BleedGreen, il quale consente di camuffare gli stessi in veste di documenti DOC o PDF. Una volta lanciato, FireCrypt termina deliberatamente il processo Task Manager e, tramite una chiave AES a 256 bit, codifica 20 diversi tipi di file, aggiungendo ad essi l’estensione .firecrypt. In seguito, la vittima visualizzerà una notifica in cui si richiede il pagamento di un riscatto pari a 500 $ (in bitcoin).

Secondo quanto riferiscono gli esperti, tale messaggio è, di fatto, molto simile alla notifica prodotta da Deadly for a Good Purpose, un ransomware individuato da MalwareHunterTeam nel mese di ottobre dello scorso anno. Inoltre, FireCrypt ha in comune con il proprio predecessore lo stesso indirizzo e-mail di contatto, e lo stesso identico wallet Bitcoin, indicati dai cybercriminali. Non è affatto escluso che FireCrypt sia semplicemente una versione di Deadly for a Good Purpose, distribuita sotto un nuovo nome.

Il principale tratto distintivo del nuovo arrivato, rispetto agli altri cryptoblocker attualmente in circolazione, è rappresentato dalla suddetta funzionalità DDoS aggiuntiva. Dopo aver richiesto il pagamento del riscatto, FireCrypt si connette continuamente ad un URL hardcoded nel proprio codice, ed inizia a scaricare determinati contenuti, salvando poi gli stessi in un file temporaneo. Secondo Bleeping Computer, l’attuale versione di FireCrypt richiede l’URL <pta.gov.pk>, il quale corrisponde al portale ufficiale dell’autorità pakistana per la vigilanza nel settore delle telecomunicazioni. Se la vittima non si accorge di tale attività, il malware riempie rapidamente la cartella %Temp% di file “spazzatura” provenienti dal sito in questione; le continue connessioni con quest’ultimo possono essere classificate, a tutti gli effetti, come un attacco DDoS a bassa intensità.

“Un malintenzionato dovrebbe necessariamente infettare migliaia di vittime, per poter condurre un attacco DDoS abbastanza potente, in grado di creare problemi al sito web del suddetto ente governativo, – scrive il reporter di BleepingComputer. – Inoltre, tutte le infezioni dovrebbero verificarsi contemporaneamente, e i computer delle vittime dovrebbero risultare collegati ad Internet, per avere la possibilità di prendere parte a tale attacco DDoS”.

Abrams ritiene che l’autore di FireCrypt abbia dotato la propria”creatura” di un componente DDoS in qualità di semplice esperimento, e che tale “innovazione” possa difficilmente suscitare l’interesse di altri malfattori. “Un attacco DDoS correttamente eseguito, con utilizzo di malware, richiede persistenza e segretezza, – commenta l’esperto. – Questo è chiaramente incompatibile con le specifiche peculiarità di una campagna ransomware di successo, la quale comporta una fase di avvio e una fase di arresto, il mostrare alla potenziale vittima la richiesta di riscatto, e l’attesa dell’auspicato pagamento. Solo alcuni programmi “estorsori” evidenziano una certa persistenza, al di là di quel che riguarda la visualizzazione, da parte della vittima, della richiesta di riscatto”.

L’elevata probabilità di rilevamento delle attività del componente DDoS da parte di uno scanner anti-virus, secondo Abrams, riduce ugualmente le chance, per FireCrypt, di avere successo nella sfera degli attacchi DDoS. “Le operazioni di codifica effettuate sul computer preso di mira indurranno la vittima a lanciare la scansione su quest’ultimo, in cerca del malware, ed il componente DDoS persistente verrà in tal modo rilevato, – precisa Abrams. – Non credo che si tratti di un metodo appropriato per la conduzione di attacchi che richiedono una presenza permanente nel sistema”.

Threatpost

Post correlati

Lascia un commento

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *