L'ANALISI TECNICA

Buran, il ransomware-as-a-service che cripta tutte le versioni di Windows e Windows Server: i dettagli

Il ransomware Buran è in grado di infettare tutte le versioni di Windows e di Windows Server utilizzando la tecnica fileless, quindi senza scrivere alcun file sull’hard disk della macchina compromessa. Ecco tutti i dettagli tecnici e i consigli per prevenire un eventuale attacco

12 Nov 2019

Si chiama Buran il ransomware appena scoperto da alcuni ricercatori di sicurezza in grado di infettare tutte le versioni dei sistemi operativi Windows dalla versione XP in poi e Windows Server dalla versione 2003 in poi.

Il malware viene attivamente venduto in un famoso forum underground russo usando il modello Ransomware-as-a-Service (RaaS) e quindi già “pacchettizzato” per essere utilizzato da chiunque. Sui proventi generati dai pagamenti dei riscatti da parte delle vittime, gli autori del ransomware Buran trattengono poi una quota pari al 25% del totale, a differenza di altri ransomware basati sul modello RaaS come GandCrab che invece hanno fruttato ai criminal hacker cifre stimante tra il 30% e il 40% delle entrate criminali.

Frequentando il forum, i ricercatori di sicurezza hanno inoltre scoperto che gli autori di Buran sono disposti a negoziare il prezzo di vendita del ransomware a chiunque riesca garantire un alto livello di infezione in un gran numero di sistemi. Vengono inoltre forniti dettagli su una eventuale affiliazione al modello RaaS e un supporto tecnico attivo 24 ore su 24 e 7 giorni su 7.

Dall’analisi del codice malevolo di alcuni campioni del ransomware isolati in Rete si scopre, inoltre, che Buran è stato progettato per non infettare i sistemi dislocati nella Comunità degli Stati Indipendenti (CIS), l’organizzazione internazionale composta da 10 delle quindici ex repubbliche sovietiche: Armenia, Bielorussia, Kazakistan, Kirghizistan, Moldavia, Russia, Tagikistan, Turkmenistan, Ucraina e Uzbekistan.

Qualora il ransomware Buran dovesse identificare il fuso orario di questi paesi impostato sui computer target, interromperà immediatamente la sua catena infettiva eseguendo il processo di sistema “ExitProcess”.

Un’ultima curiosità sul nome di questo nuovo ransomware: fu chiamato Buran il programma aerospaziale sovietico che portò allo sviluppo di uno spazioplano simile allo Space Shuttle della NASA e che fu poi cancellato nel 1992 in seguito al crollo dell’Unione Sovietica.

Ransomware Buran: ecco come avviene l’infezione

I ricercatori di sicurezza hanno scoperto che il ransomware Buran utilizza il RIG Exploit Kit per infettare le macchine target.

In particolare, il kit di exploit sfrutta una grave vulnerabilità di tipo Arbitrary Code Execution che risiede nel modulo VBScript Engine di Internet Explorer e identificata come CVE-2018-8174. Se l’exploit della vulnerabilità ha successo, il codice malevolo di Buran viene scaricato nel sistema compromesso.

WHITEPAPER
Perché impostare una strategia di manutenzione dei server?
Datacenter
Sicurezza

Un’altra particolarità di Buran è che sia il packer sia il codice malevolo vero e proprio sono stati scritti utilizzando il linguaggio di programmazione Delphi che rende molto più difficile l’analisi statica del malware. Lo scopo del packer è quello di scompattare e decriptare il codice malevolo di Buran utilizzando la tecnica RunPE per eseguirlo direttamente nella memoria del sistema. Questa particolare funzionalità consente di classificare Buran tra i ransomware fileless, una particolare versione di malware che non memorizza alcun file nell’hard disk della macchina compromessa: una tecnica, questa, che consente a Buran di “nascondersi” ai classici motori antivirus basati sulle firme virali.

Il ransomware, inoltre, viene al momento venduto in una seconda versione alla quale i criminal hacker hanno apportato numerose migliorie.

Il passaggio successivo della catena infettiva di Buran consiste nel calcolare un valore hash in base al percorso di archiviazione del codice malevolo utilizzato dal packer e al nome della macchina compromessa. Il valore hash a 32 bit risultante verrà memorizzato in un file con estensione “.buran” che il ransomware crea all’interno della cartella temporanea della macchina della vittima e servirà a Buran per avviare la cifratura dei file archiviati nell’hard disk.

È importante notare che se il malware non è in grado di creare o scrivere il file nella cartella TEMP, la sua esecuzione verrà terminata.

Completata l’infezione del sistema target, il ransomware Buran crea la classica nota di riscatto e la visualizza sul desktop della vittima.

Come difendersi dai ransomware fileless

Così come tutti i principali ransomware fileless, anche Buran viene al momento veicolato mediante i vettori tradizionali:

  • attacchi di phishing, generati tramite e-mail;
  • compromissione e creazione ad hoc di siti web in grado di eseguire script maligni nel browser del visitatore.

È quindi utile adottare alcuni accorgimenti per cercare di limitare l’impatto di un eventuale attacco tramite il ransomware Buran:

  • innanzitutto, può essere utile sostituire gli antivirus basati su firme virali con i più efficienti software di controllo dotati di analisi comportamentale e quindi in grado di rilevare eventuali operazioni non autorizzate anche se non viene memorizzato alcun file sull’hard disk della macchina compromessa;
  • è sempre utile, poi, applicare il principio di “least privilege” quanto si procede alla creazione degli utenti all’interno della directory. Mantenere e verificare periodicamente quali siano gli utenti attivi, inattivi e di quali permessi essi godano.

Rimangono sempre valide, infine, le buone regole di sicurezza informatica:

  • effettuare un backup dei file, mantenuto in posizione sicura, secondo le best practice comunemente usate nei piani di disaster recovery;
  • mantenere aggiornati i propri sistemi: i fileless ransomware utilizzano generalmente exploit noti durante l’esecuzione dell’attacco. Verificare lo stato delle patch o, meglio ancora, utilizzare un sistema di vulnerability management, possono innalzare in maniera esponenziale lo stato di sicurezza dell’infrastruttura;
  • formare gli utenti e renderli consapevoli dei pericoli presenti nel cyberspazio. Nella maggioranza dei casi i ransomware richiedono l’interazione umana: un utente che clicca su qualsiasi link ed allegato è il miglior amico dei cyber criminali.

@RIPRODUZIONE RISERVATA

Speciale PNRR

Tutti
Incentivi
PA
Sostemibilità
Analisi
Formazione
Salute digitale
Sicurezza
Sostenibilità
Digital Economy
Formazione
Trasferimento tecnologico, il Mise mette sul piatto 7,5 milioni
Strategie
PSN e Strategia Cloud Italia: a che punto siamo e come supportare la PA in questo percorso
Dispersione idrica
Siccità: AI e analisi dei dati possono ridurre gli sprechi d’acqua. Ecco gli interventi necessari
PNRR
Cloud, firmato il contratto per l’avvio di lavori del Polo strategico
Formazione
Competenze digitali, stanziati 48 milioni per gli Istituti tecnologici superiori
Iniziative
Digitalizzazione delle reti idriche: oltre 600 milioni per 21 progetti
Competenze e competitività
PNRR, così i fondi UE possono rilanciare la ricerca e l’Università
Finanziamenti
PNRR, si sbloccano i fondi per l’agrisolare
Sanità post-pandemica
PNRR, Missione Salute: a che punto siamo e cosa resta da fare
Strategie
Sovranità e autonomia tecnologica nazionale: come avviare un processo virtuoso e sostenibile
La relazione
Pnrr e PA digitale, l’alert della Corte dei conti su execution e capacità di spesa
L'editoriale
Elezioni 2022, la sfida digitale ai margini del dibattito politico
Strategie
Digitale, il monito di I-Com: “Senza riforme Pnrr inefficace”
Transizione digitale
Pnrr: arrivano 321 milioni per cloud dei Comuni, spazio e mobilità innovativa
L'analisi I-COM
Il PNRR alla prova delle elezioni: come usare bene le risorse e centrare gli obiettivi digitali
Cineca
Quantum computing, una svolta per la ricerca: lo scenario europeo e i progetti in corso
L'indice europeo
Desi, l’Italia scala due posizioni grazie a fibra e 5G. Ma è (ancora) allarme competenze
L'approfondimento
PNRR 2, ecco tutte le misure per cittadini e imprese: portale sommerso, codice crisi d’impresa e sismabonus, cosa cambia
Servizi digitali
PNRR e trasformazione digitale: ecco gli investimenti e le riforme previste per la digitalizzazione della PA
Legal health
Lo spazio europeo dei dati sanitari: come circoleranno le informazioni sulla salute nell’Unione Europea
Servizi digitali
PNRR e PA digitale: non dimentichiamo la dematerializzazione
Digital Healthcare transformation
La trasformazione digitale degli ospedali
Governance digitale
PA digitale, è la volta buona? Così misure e risorse del PNRR possono fare la differenza
Servizi digitali
Comuni e digitale, come usare il PNRR senza sbagliare
La survey
Pnrr e digitale accoppiata vincente per il 70% delle pmi italiane
Missione salute
Fascicolo Sanitario Elettronico alla prova del PNRR: limiti, rischi e opportunità
Servizi pubblici
PNRR: come diventeranno i siti dei comuni italiani grazie alle nuove risorse
Skill gap
PNRR, la banda ultra larga crea 20.000 nuovi posti di lavoro
Il Piano
Spazio, Colao fa il punto sul Pnrr: i progetti verso la milestone 2023
FORUMPA2022
PNRR e trasformazione digitale: rivedi i Talk di FORUM PA 2022 in collaborazione con le aziende partner
I contratti
Avio, 340 milioni dal Pnrr per i nuovi propulsori a metano
Next Generation EU
PNRR, a che punto siamo e cosa possono aspettarsi le aziende private
Fondi
Operativo il nuovo portale del MISE con tutti i finanziamenti per le imprese
Servizi comunali
Il PNRR occasione unica per i Comuni digitali: strumenti e risorse per enti e cittadini
Healthcare data platform
PNRR dalla teoria alla pratica: tecnologie e soluzioni per l’innovazione in Sanità
Skill
Competenze digitali, partono le Reti di facilitazione
Gli obiettivi
Scuola 4.0, PNRR ultima chance: ecco come cambierà il sistema formativo
Sistema Paese
PNRR 2, è il turno della space economy
FORUM PA 2022
FORUM PA 2022: la maturità digitale dei comuni italiani rispetto al PNRR
Analisi
PNRR: dalla Ricerca all’impresa, una sfida da cogliere insieme
Innovazione
Pnrr, il Dipartimento per la Trasformazione digitale si riorganizza
FORUM PA 2022
PA verde e sostenibile: il ruolo di PNRR, PNIEC, energy management e green public procurement
Analisi
PNRR, Comuni e digitalizzazione: tutto su fondi e opportunità, in meno di 3 minuti. Guarda il video!
Rapporti
Competenze digitali e servizi automatizzati pilastri del piano Inps
Analisi
Attuazione del PNRR: il dialogo necessario tra istituzioni e società civile. Rivedi lo Scenario di FORUM PA 2022
Progetti
Pnrr, fondi per il Politecnico di Torino. Fra i progetti anche IS4Aerospace
Analisi
PNRR, Colao fa il punto sulla transizione digitale dell’Italia: «In linea con tutte le scadenze»
La Svolta
Ict, Istat “riclassifica” i professionisti. Via anche al catalogo dati sul Pnrr
Analisi
Spazio, Colao fa il punto sul Pnrr: i progetti verso la milestone 2023
FORUM PA 2022
Ecosistema territoriale sostenibile: l’Emilia Romagna tra FESR e PNRR
Il Piano
Innovazione, il Mise “centra” gli obiettivi Pnrr: attivati 17,5 miliardi
Analisi
PNRR: raggiunti gli obiettivi per il primo semestre 2022. Il punto e qualche riflessione
Analisi
PNRR: dal dialogo tra PA e società civile passa il corretto monitoraggio dei risultati, tra collaborazione e identità dei luoghi
Webinar
Comuni e PNRR: un focus sui bandi attivi o in pubblicazione
Analisi
Formazione 4.0: cos’è e come funziona il credito d’imposta
PA e Sicurezza
PA e sicurezza informatica: il ruolo dei territori di fronte alle sfide della digitalizzazione
PA e sicurezza
PNRR e servizi pubblici digitali: sfide e opportunità per Comuni e Città metropolitane
Water management
Water management in Italia: verso una transizione “smart” e “circular” 
LE RISORSE
Transizione digitale, Simest apre i fondi Pnrr alle medie imprese
Prospettive
Turismo, cultura e digital: come spendere bene le risorse del PNRR
Analisi
Smart City: quale contributo alla transizione ecologica
Decarbonizzazione
Idrogeno verde, 450 milioni € di investimenti PNRR, Cingolani firma
Unioncamere
PNRR, imprese in ritardo: ecco come le Camere di commercio possono aiutare
I fondi
Industria 4.0: solo un’impresa su tre pronta a salire sul treno Pnrr
Formazione
Trasferimento tecnologico, il Mise mette sul piatto 7,5 milioni
Strategie
PSN e Strategia Cloud Italia: a che punto siamo e come supportare la PA in questo percorso
Dispersione idrica
Siccità: AI e analisi dei dati possono ridurre gli sprechi d’acqua. Ecco gli interventi necessari
PNRR
Cloud, firmato il contratto per l’avvio di lavori del Polo strategico
Formazione
Competenze digitali, stanziati 48 milioni per gli Istituti tecnologici superiori
Iniziative
Digitalizzazione delle reti idriche: oltre 600 milioni per 21 progetti
Competenze e competitività
PNRR, così i fondi UE possono rilanciare la ricerca e l’Università
Finanziamenti
PNRR, si sbloccano i fondi per l’agrisolare
Sanità post-pandemica
PNRR, Missione Salute: a che punto siamo e cosa resta da fare
Strategie
Sovranità e autonomia tecnologica nazionale: come avviare un processo virtuoso e sostenibile
La relazione
Pnrr e PA digitale, l’alert della Corte dei conti su execution e capacità di spesa
L'editoriale
Elezioni 2022, la sfida digitale ai margini del dibattito politico
Strategie
Digitale, il monito di I-Com: “Senza riforme Pnrr inefficace”
Transizione digitale
Pnrr: arrivano 321 milioni per cloud dei Comuni, spazio e mobilità innovativa
L'analisi I-COM
Il PNRR alla prova delle elezioni: come usare bene le risorse e centrare gli obiettivi digitali
Cineca
Quantum computing, una svolta per la ricerca: lo scenario europeo e i progetti in corso
L'indice europeo
Desi, l’Italia scala due posizioni grazie a fibra e 5G. Ma è (ancora) allarme competenze
L'approfondimento
PNRR 2, ecco tutte le misure per cittadini e imprese: portale sommerso, codice crisi d’impresa e sismabonus, cosa cambia
Servizi digitali
PNRR e trasformazione digitale: ecco gli investimenti e le riforme previste per la digitalizzazione della PA
Legal health
Lo spazio europeo dei dati sanitari: come circoleranno le informazioni sulla salute nell’Unione Europea
Servizi digitali
PNRR e PA digitale: non dimentichiamo la dematerializzazione
Digital Healthcare transformation
La trasformazione digitale degli ospedali
Governance digitale
PA digitale, è la volta buona? Così misure e risorse del PNRR possono fare la differenza
Servizi digitali
Comuni e digitale, come usare il PNRR senza sbagliare
La survey
Pnrr e digitale accoppiata vincente per il 70% delle pmi italiane
Missione salute
Fascicolo Sanitario Elettronico alla prova del PNRR: limiti, rischi e opportunità
Servizi pubblici
PNRR: come diventeranno i siti dei comuni italiani grazie alle nuove risorse
Skill gap
PNRR, la banda ultra larga crea 20.000 nuovi posti di lavoro
Il Piano
Spazio, Colao fa il punto sul Pnrr: i progetti verso la milestone 2023
FORUMPA2022
PNRR e trasformazione digitale: rivedi i Talk di FORUM PA 2022 in collaborazione con le aziende partner
I contratti
Avio, 340 milioni dal Pnrr per i nuovi propulsori a metano
Next Generation EU
PNRR, a che punto siamo e cosa possono aspettarsi le aziende private
Fondi
Operativo il nuovo portale del MISE con tutti i finanziamenti per le imprese
Servizi comunali
Il PNRR occasione unica per i Comuni digitali: strumenti e risorse per enti e cittadini
Healthcare data platform
PNRR dalla teoria alla pratica: tecnologie e soluzioni per l’innovazione in Sanità
Skill
Competenze digitali, partono le Reti di facilitazione
Gli obiettivi
Scuola 4.0, PNRR ultima chance: ecco come cambierà il sistema formativo
Sistema Paese
PNRR 2, è il turno della space economy
FORUM PA 2022
FORUM PA 2022: la maturità digitale dei comuni italiani rispetto al PNRR
Analisi
PNRR: dalla Ricerca all’impresa, una sfida da cogliere insieme
Innovazione
Pnrr, il Dipartimento per la Trasformazione digitale si riorganizza
FORUM PA 2022
PA verde e sostenibile: il ruolo di PNRR, PNIEC, energy management e green public procurement
Analisi
PNRR, Comuni e digitalizzazione: tutto su fondi e opportunità, in meno di 3 minuti. Guarda il video!
Rapporti
Competenze digitali e servizi automatizzati pilastri del piano Inps
Analisi
Attuazione del PNRR: il dialogo necessario tra istituzioni e società civile. Rivedi lo Scenario di FORUM PA 2022
Progetti
Pnrr, fondi per il Politecnico di Torino. Fra i progetti anche IS4Aerospace
Analisi
PNRR, Colao fa il punto sulla transizione digitale dell’Italia: «In linea con tutte le scadenze»
La Svolta
Ict, Istat “riclassifica” i professionisti. Via anche al catalogo dati sul Pnrr
Analisi
Spazio, Colao fa il punto sul Pnrr: i progetti verso la milestone 2023
FORUM PA 2022
Ecosistema territoriale sostenibile: l’Emilia Romagna tra FESR e PNRR
Il Piano
Innovazione, il Mise “centra” gli obiettivi Pnrr: attivati 17,5 miliardi
Analisi
PNRR: raggiunti gli obiettivi per il primo semestre 2022. Il punto e qualche riflessione
Analisi
PNRR: dal dialogo tra PA e società civile passa il corretto monitoraggio dei risultati, tra collaborazione e identità dei luoghi
Webinar
Comuni e PNRR: un focus sui bandi attivi o in pubblicazione
Analisi
Formazione 4.0: cos’è e come funziona il credito d’imposta
PA e Sicurezza
PA e sicurezza informatica: il ruolo dei territori di fronte alle sfide della digitalizzazione
PA e sicurezza
PNRR e servizi pubblici digitali: sfide e opportunità per Comuni e Città metropolitane
Water management
Water management in Italia: verso una transizione “smart” e “circular” 
LE RISORSE
Transizione digitale, Simest apre i fondi Pnrr alle medie imprese
Prospettive
Turismo, cultura e digital: come spendere bene le risorse del PNRR
Analisi
Smart City: quale contributo alla transizione ecologica
Decarbonizzazione
Idrogeno verde, 450 milioni € di investimenti PNRR, Cingolani firma
Unioncamere
PNRR, imprese in ritardo: ecco come le Camere di commercio possono aiutare
I fondi
Industria 4.0: solo un’impresa su tre pronta a salire sul treno Pnrr