Questo sito web utilizza cookie tecnici e, previo Suo consenso, cookie di profilazione, nostri e di terze parti. Chiudendo questo banner, scorrendo questa pagina o cliccando qualunque suo elemento acconsente all'uso dei cookie. Leggi la nostra Cookie Policy per esteso.OK

L'ANALISI TECNICA

Buran, il ransomware-as-a-service che cripta tutte le versioni di Windows e Windows Server: i dettagli

Il ransomware Buran è in grado di infettare tutte le versioni di Windows e di Windows Server utilizzando la tecnica fileless, quindi senza scrivere alcun file sull’hard disk della macchina compromessa. Ecco tutti i dettagli tecnici e i consigli per prevenire un eventuale attacco

12 Nov 2019

Si chiama Buran il ransomware appena scoperto da alcuni ricercatori di sicurezza in grado di infettare tutte le versioni dei sistemi operativi Windows dalla versione XP in poi e Windows Server dalla versione 2003 in poi.

Il malware viene attivamente venduto in un famoso forum underground russo usando il modello Ransomware-as-a-Service (RaaS) e quindi già “pacchettizzato” per essere utilizzato da chiunque. Sui proventi generati dai pagamenti dei riscatti da parte delle vittime, gli autori del ransomware Buran trattengono poi una quota pari al 25% del totale, a differenza di altri ransomware basati sul modello RaaS come GandCrab che invece hanno fruttato ai criminal hacker cifre stimante tra il 30% e il 40% delle entrate criminali.

Frequentando il forum, i ricercatori di sicurezza hanno inoltre scoperto che gli autori di Buran sono disposti a negoziare il prezzo di vendita del ransomware a chiunque riesca garantire un alto livello di infezione in un gran numero di sistemi. Vengono inoltre forniti dettagli su una eventuale affiliazione al modello RaaS e un supporto tecnico attivo 24 ore su 24 e 7 giorni su 7.

Dall’analisi del codice malevolo di alcuni campioni del ransomware isolati in Rete si scopre, inoltre, che Buran è stato progettato per non infettare i sistemi dislocati nella Comunità degli Stati Indipendenti (CIS), l’organizzazione internazionale composta da 10 delle quindici ex repubbliche sovietiche: Armenia, Bielorussia, Kazakistan, Kirghizistan, Moldavia, Russia, Tagikistan, Turkmenistan, Ucraina e Uzbekistan.

Qualora il ransomware Buran dovesse identificare il fuso orario di questi paesi impostato sui computer target, interromperà immediatamente la sua catena infettiva eseguendo il processo di sistema “ExitProcess”.

Un’ultima curiosità sul nome di questo nuovo ransomware: fu chiamato Buran il programma aerospaziale sovietico che portò allo sviluppo di uno spazioplano simile allo Space Shuttle della NASA e che fu poi cancellato nel 1992 in seguito al crollo dell’Unione Sovietica.

Ransomware Buran: ecco come avviene l’infezione

I ricercatori di sicurezza hanno scoperto che il ransomware Buran utilizza il RIG Exploit Kit per infettare le macchine target.

In particolare, il kit di exploit sfrutta una grave vulnerabilità di tipo Arbitrary Code Execution che risiede nel modulo VBScript Engine di Internet Explorer e identificata come CVE-2018-8174. Se l’exploit della vulnerabilità ha successo, il codice malevolo di Buran viene scaricato nel sistema compromesso.

Un’altra particolarità di Buran è che sia il packer sia il codice malevolo vero e proprio sono stati scritti utilizzando il linguaggio di programmazione Delphi che rende molto più difficile l’analisi statica del malware. Lo scopo del packer è quello di scompattare e decriptare il codice malevolo di Buran utilizzando la tecnica RunPE per eseguirlo direttamente nella memoria del sistema. Questa particolare funzionalità consente di classificare Buran tra i ransomware fileless, una particolare versione di malware che non memorizza alcun file nell’hard disk della macchina compromessa: una tecnica, questa, che consente a Buran di “nascondersi” ai classici motori antivirus basati sulle firme virali.

Il ransomware, inoltre, viene al momento venduto in una seconda versione alla quale i criminal hacker hanno apportato numerose migliorie.

Il passaggio successivo della catena infettiva di Buran consiste nel calcolare un valore hash in base al percorso di archiviazione del codice malevolo utilizzato dal packer e al nome della macchina compromessa. Il valore hash a 32 bit risultante verrà memorizzato in un file con estensione “.buran” che il ransomware crea all’interno della cartella temporanea della macchina della vittima e servirà a Buran per avviare la cifratura dei file archiviati nell’hard disk.

È importante notare che se il malware non è in grado di creare o scrivere il file nella cartella TEMP, la sua esecuzione verrà terminata.

Completata l’infezione del sistema target, il ransomware Buran crea la classica nota di riscatto e la visualizza sul desktop della vittima.

Come difendersi dai ransomware fileless

Così come tutti i principali ransomware fileless, anche Buran viene al momento veicolato mediante i vettori tradizionali:

  • attacchi di phishing, generati tramite e-mail;
  • compromissione e creazione ad hoc di siti web in grado di eseguire script maligni nel browser del visitatore.

È quindi utile adottare alcuni accorgimenti per cercare di limitare l’impatto di un eventuale attacco tramite il ransomware Buran:

  • innanzitutto, può essere utile sostituire gli antivirus basati su firme virali con i più efficienti software di controllo dotati di analisi comportamentale e quindi in grado di rilevare eventuali operazioni non autorizzate anche se non viene memorizzato alcun file sull’hard disk della macchina compromessa;
  • è sempre utile, poi, applicare il principio di “least privilege” quanto si procede alla creazione degli utenti all’interno della directory. Mantenere e verificare periodicamente quali siano gli utenti attivi, inattivi e di quali permessi essi godano.

Rimangono sempre valide, infine, le buone regole di sicurezza informatica:

  • effettuare un backup dei file, mantenuto in posizione sicura, secondo le best practice comunemente usate nei piani di disaster recovery;
  • mantenere aggiornati i propri sistemi: i fileless ransomware utilizzano generalmente exploit noti durante l’esecuzione dell’attacco. Verificare lo stato delle patch o, meglio ancora, utilizzare un sistema di vulnerability management, possono innalzare in maniera esponenziale lo stato di sicurezza dell’infrastruttura;
  • formare gli utenti e renderli consapevoli dei pericoli presenti nel cyberspazio. Nella maggioranza dei casi i ransomware richiedono l’interazione umana: un utente che clicca su qualsiasi link ed allegato è il miglior amico dei cyber criminali.

@RIPRODUZIONE RISERVATA

Articolo 1 di 5