Non bastavano i ransomware che criptano il contenuto dell’hard disk chiedendo poi un riscatto alla vittima per inviare la chiave di decifratura. I ricercatori di sicurezza dei Kaspersky Lab hanno scoperto una variante del ransomware Rakhni (già isolato nel 2013) che, oltre alle tipiche funzionalità di questo genere di malware, aggiunge anche quella di miner di criptovalute.
Il ransomware, in particolare, è in grado di analizzare le caratteristiche hardware e software del PC infettato e, in base alla potenza di calcolo disponibile, decidere se avviare il modulo di cifratura dei dati o quello per la creazione e l’estrazione di diverse tipologie di criptovalute.
Come funziona il nuovo malware
Questa nuova variante del malware viene distribuito prevalentemente mediante e-mail di spam con allegati malevoli. Al momento, il paese più colpito sembra essere la Federazione Russa (95,57%), seguito da Kazakistan (1,36%), Ucraina (0,57%), Germania (0,49%) e India (0,41%). In altri paesi europei e in Italia in particolare i casi di infezione sono al momento abbastanza limitati.
Il motivo è dovuto soprattutto al fatto che le e-mail sono scritte per lo più in russo. In allegato hanno un file Word con estensione .docx utilizzato per nascondere quello che appare come un documento PDF embedded. Un incauto doppio clic sull’icona del documento non fa altro che avviare l’eseguibile malevolo mascherato da prodotto Adobe allo scopo di indurre l’utente a consentire il permesso per l’esecuzione del codice malevolo.
La nuova variante del ransomware Rakhni si maschera da prodotto Adobe per ingannare l’utente e indurlo ad eseguire il suo codice malevolo
Da un’analisi tecnica del malware si è scoperto che questo codice malevolo è trojan downloader che, come sua prima operazione, effettua una serie di controlli sul sistema allo scopo di evitare di essere eseguito all’interno di un ambiente virtuale o di una sandbox, strumenti tipicamente utilizzati a livello aziendale proprio per l’analisi di malware. Completato questo primo controllo, il malware analizza anche il nome della macchina, l’indirizzo IP e diverse chiavi di registro confrontandoli con liste codificate di nomi, indirizzi e chiavi che possono indicare la presenza di macchine virtuali. Se questo controllo dà esito positivo, il trojan interrompe immediatamente la sua esecuzione.
Altrimenti, installa un certificato di root incluso tra le proprie risorse che in seguito gli servirà per scaricare i suoi moduli successivi e “firmarli” con questo falso certificato apparentemente emesso da Microsoft Corporation o Adobe Systems Incorporated.
Rakhni usa un finto certificato Microsoft o Adobe per “firmare” i suoi moduli infettivi
Solo a questo punto, il trojan decide se scaricare il ransomware o il miner a seconda della presenza o meno sul sistema della cartella %AppData%\Bitcoin. Se questa cartella esiste viene scaricato il modulo per la cifratura. Altrimenti, se la macchina è equipaggiata con un processore con almeno due core e la cartella precedente non esiste, viene scaricato il modulo per il mining.
Se nessuna di queste circostanze si verifica, viene attivata la funzionalità di worm. Il trojan tenta di copiare sé stesso su tutti i computer accessibili sulla rete locale con la directory Utenti condivisa.
Infine, indipendentemente dalla modalità di funzionamento scelta, il trojan verifica la presenza di processi in esecuzione relativi a prodotti antivirus e se non ne trova alcuno attivo, inizia ad inviare una serie di comandi di sistema per disabilitare Windows Defender.
Analizziamo il modulo ransomware
Qualora il malware decida di avviare il modulo ransomware, scarica sull’hard disk della vittima un archivio protetto da password nella cartella %appdata%\Microsoft\Windows\Start Menu\Programs\Startup dell’utente, lo decomprime e lo esegue avviando il processo taskhost.exe. Quindi, provvede a terminare i seguenti processi:
1cv7s.exe, Foxit Advanced PDF Editor.exe, mspaint.exe, soffice.exe, 1cv8.exe, Foxit Phantom.exe, mysqld.exe, sqlservr.exe, 1cv8c.exe, Foxit PhantomPDF.exe, NitroPDF.exe, sqlwriter.exe, 7zFM.exe, Foxit Reader.exe, notepad.exe, STDUViewerApp.exe, acad.exe, FoxitPhantom.exe, OUTLOOK.EXE, SumatraPDF.exe, Account.EXE, FoxitReader.exe, PDFMaster.exe, thebat.exe, Acrobat.exe, FreePDFReader.exe, PDFXCview.exe, thebat32.exe, AcroRd32.exe, gimp-2.8.exe, PDFXEdit.exe, thunderbird.exe, architect.exe, GSmeta.exe, pgctl.exe, ThunderbirdPortable.exe, bricscad.exe, HamsterPDFReader.exe, Photoshop.exe, VISIO.EXE, Bridge.exe, Illustrator.exe, Picasa3.exe, WebMoney.exe, CorelDRW.exe, InDesign.exe, PicasaPhotoViewer.exe, WinDjView.exe, CorelPP.exe, iview32.exe, postgres.exe, WinRAR.exe, EXCEL.EXE, KeePass.exe, POWERPNT.EXE, WINWORD.EXE, fbguard.exe, Magnat2.exe, RdrCEF.exe, wlmail.exe, fbserver.exe, MSACCESS.EXE, SmWiz.exe, wordpad.exe, FineExec.exe, msimn.exe, soffice.bin, xnview.exe
Inoltre, per evitare che l’utente riesca in qualche modo a recuperare copie di backup dei suoi file, se il ransomware non trova in esecuzione il processo avp.exe, allora cancella le copie shadow di Windows. Quindi inizia a cifrare mediante l’algoritmo RSA-1024 tutti i file con le seguenti estensioni:
.ebd, .jbc, .pst, .ost, .tib, .tbk, .bak, .bac, .abk, .as4, .asd, .ashbak, .backup, .bck, .bdb, .bk1, .bkc, .bkf, .bkp, .boe, .bpa, .bpd, .bup, .cmb, .fbf, .fbw, .fh, .ful, .gho, .ipd, .nb7, .nba, .nbd, .nbf, .nbi, .nbu, .nco, .oeb, .old, .qic, .sn1, .sn2, .sna, .spi, .stg, .uci, .win, .xbk, .iso, .htm, .html, .mht, .p7, .p7c, .pem, .sgn, .sec, .cer, .csr, .djvu, .der, .stl, .crt, .p7b, .pfx, .fb, .fb2, .tif, .tiff, .pdf, .doc, .docx, .docm, .rtf, .xls, .xlsx, .xlsm, .ppt, .pptx, .ppsx, .txt, .cdr, .jpe, .jpg, .jpeg, .png, .bmp, .jiff, .jpf, .ply, .pov, .raw, .cf, .cfn, .tbn, .xcf, .xof, .key, .eml, .tbb, .dwf, .egg, .fc2, .fcz, .fg, .fp3, .pab, .oab, .psd, .psb, .pcx, .dwg, .dws, .dxe, .zip, .zipx, .7z, .rar, .rev, .afp, .bfa, .bpk, .bsk, .enc, .rzk, .rzx, .sef, .shy, .snk, .accdb, .ldf, .accdc, .adp, .dbc, .dbx, .dbf, .dbt, .dxl, .edb, .eql, .mdb, .mxl, .mdf, .sql, .sqlite, .sqlite3, .sqlitedb, .kdb, .kdbx, .1cd, .dt, .erf, .lgp, .md, .epf, .efb, .eis, .efn, .emd, .emr, .end, .eog, .erb, .ebn, .ebb, .prefab, .jif, .wor, .csv, .msg, .msf, .kwm, .pwm, .ai, .eps, .abd, .repx, .oxps, .dot
Al termine, i file cifrati avranno estensione “.neitrino”. Infine, il ransomware crea in ogni cartella dell’hard disk il file “MESSAGE.txt” contenente l’importo del riscatto.
Analizziamo il modulo miner
Usando le stesse modalità, il malware Rakhni scarica il modulo miner, archiviandolo però nella cartella %AppData%\KB[8_caratteri casuali]. Scaricato e decompresso l’archivio contenente il codice malevolo, il downloader genera lo script Check_Updates.vbs scritto in VBScript che viene lanciato al successivo riavvio del sistema e contiene due comandi per il mining. Il primo avvia un processo per l’estrazione della criptovaluta Monero, il secondo per l’estrazione di Monero Original che effettuerà sfruttando la GPU per il mining. Un terzo modulo nominato come svchost.exe (analogamente al processo nativo di Windows) viene invece utilizzato per estrarre la criptovaluta Dashcoin mediante il tool MinerGate.
Ransomware decisionale: ecco di cosa si tratta
“La particolarità di Rakhni – secondo Marco Ramilli, CEO di Yoroi – sta nella sua capacità decisionale. Tale capacità viene messa in atto immediatamente all’inizio dell’infezione e la sua particolarità operativa viene evidenziata dall’albero decisionale implementato dallo sviluppatore, il quale decide di non utilizzarla per effettuare azioni evasive al fine di sfuggire alle analisi, bensì, per comprendere quale comportamento malevolo adottare una volta insidiato all’interno della vittima”.
“Le scelte conosciute ed implementate ad oggi – continua Ramilli – sono due:
- Comportamento da Tematic-Ransomware
- Comportamento da Miner
Rakhni può facilmente trasformarsi da Tematic-Ransomware (comportamento di un Ransomware ma tematico quindi solo su specifici file e non su tutti i file della vittima) a Miner (strumento capace di validare transizioni di cryptocurrencies in cambio di un “reward” in valuta validata) in funzione della macchina infettata. Se sulla macchina è presente un wallet (contenitore di chiavi private relative ad una Blockchain) noto, Rakhni decide di cifrare le chiavi private del wallet chiedendo un ovvio riscatto, per consentire alla vittima di poter utilizzare le sue cryptomonete. Contrariamente se Rakhni non individua nessun wallet noto assume che sulla macchina della vittima ci sia sufficiente “forza computazionale” da poter essere impiegata per minare cryptovalute”.
Difendersi dal ransomware: i consigli giusti
Ramilli sottolinea quindi “l’inefficacia dei sistemi perimetrali nell’individuare minacce complesse come la presente, in cui è visibile una componente “multi stage”, ovvero il malware si insidia nella vittima per piccoli “passi”, e una componente “multi payload”, ovvero adotta un comportamento differente in funzione di una scelta interna, unita alla facilita di scambio di valuta attraverso cryptovalues, rendono questi attacchi sempre più efficaci e sempre più complessi da essere individuati automaticamente e senza l’utilizzo di complessi strumenti basati su Intelligenza Collettiva (Shared Threat Intelligence) e Sandbox”.
Per fortuna, trattandosi di una variante di un ransomware già identificato, i principali antivirus riescono a riconoscere Rakhni e a renderlo innocuo. I laboratori Kaspersky hanno inoltre diffuso i principali indicatori di compromissione:
- Malicious document: 81C0DEDFA5CB858540D3DF459018172A
- Downloader: F4EC1E3270D62DD4D542F286797877E3
- Miner: BFF4503FF1650D8680F8E217E899C8F4
- Cryptor: 96F460D5598269F45BCEAAED81F42E9B
- URLs: hxxp://protnex[.]pw, hxxp://biserdio[.]pw
La regola di massima per difendersi rimane sempre valida: non aprire mai allegati di posta elettronica provenienti da mittenti sconosciuti e comunque senza aver prima aggiornato l’antivirus. Infine, vista l’ormai sempre maggiore diffusione di questi pericolosi malware, è opportuno installare anche un buon antiransomware che offre una migliore capacità di individuazione delle minacce rispetto ai normali software antivirali.
