L'ANALISI TECNICA

Chaos Ransomware, il ransomware “italiano” che si nasconde tra i referti della Polizia di Stato

È stata identificata una variante di Chaos Ransomware con chiara matrice italiana: il malware sfrutta finti referti della Polizia di Stato per attirare le vittime in trappola e, purtroppo, pagare il riscatto serve a poco perché i file di dimensione superiore a 2 MB vengono irrimediabilmente cancellati. Ecco tutti i dettagli e i consigli per difendersi

18 Gen 2022
L
Salvatore Lombardo

Funzionario informatico, Esperto ICT, Socio Clusit e autore

Di recente il CERT-AgID ha analizzato una variante di Chaos Ransomware palesemente di matrice italiana. I criminali informatici dietro questa campagna ransomware, che sfrutta come tema un presunto materiale illegale refertato dalla Polizia di Stato, chiedono un risarcimento per evitare una denuncia penale da versare su un indirizzo Bitcoin.

Nonostante la cifra esigua richiesta come riscatto, il danno che questo ransomware potrebbe causare sui sistemi colpiti risulta irreversibile.

“Pagare il riscatto non consente di ottenere un decryptor per ripristinare tutti i dati, poiché i file di dimensione superiore a 2 MB vengono sovrascritti con dati casuali, vanificando di conseguenza ogni possibilità di ripristino”, si legge nel rapporto del CERT.

Chaos Ransomware: la possibile matrice italiana

Chaos Ransomware, lo ricordiamo, è un generatore di ransomware già noto dal mese di giugno 2021 quando su un forum underground russo fu condiviso il link del suo primo builder.

WEBINAR
8 Giugno 2022 - 12:00
Governance e sicurezza dei dati. Come gestirli al meglio?
Big Data
Sicurezza

Poiché diverse copie del sorgente sono ancora oggi disponibili online, è molto probabile secondo il CERT che gli autori di questa campagna abbiano ottenuto una di queste copie personalizzando alcune parti di interesse: la nota, l’indirizzo Bitcoin, l’immagine usata per lo sfondo e la tipologia di estensione dei file cifrati in “.polizia”.

Pertanto dagli elementi riscontrati gli esperti di sicurezza pensano ragionevolmente che questa variante del malware possa avere una matrice italiana.

La catena di infezione di Chaos Ransomware

Il codice in oggetto esaminato è un assembly .NET la cui implementazione si presenta molto semplice e lineare senza alcuna offuscazione. In particolare, l’algoritmo segue cinque fasi:

  1. l’inizializzazione;
  2. la cifratura;
  3. la propagazione;
  4. la generazione della nota estorsiva;
  5. la sostituzione degli indirizzi bitcoin presenti nella clipboard.

L’inizializzazione prevede di gestire le istanze multiple del ransomware cercando di controllare che non ci siano processi attivi identici con diversi PID (Process IDentifier). Tale fase si occupa anche di garantire l’elevazione dei privilegi amministrativi e la persistenza nella cartella di avvio.

https://cert-agid.gov.it/wp-content/uploads/2022/01/image-6-1024x333.png

Anche la funzione che si occupa della cifratura risulta molto lineare. Le directory target sono le cartelle Desktop, Contatti, Download, Musica, Video, Favoriti, Ricerche, Collegamenti, Documenti, One Drive e Salvataggi, oltre le cartelle comuni con altri utenti e la directory %AppData%.

I file all’interno di tali cartelle che vengono cifrati sono solo quelli aventi una predeterminata estensione (236 estensioni). Sono esclusi dalla crittografia i file di testo che contengono la nota di riscatto.

La particolarità della funzione cifrante è che solo i file minori di 2 MB vengono effettivamente cifrati mediante l’algoritmo AES-256-CBC e rinominati con estensione “.polizia”; gli altri file vengono sovrascritti con dati casuali. È proprio questo modo di procedere che rende il danno causato dal ransomware irreparabile.

Terminata la cifratura di tutte le cartelle target, il ransomware scrive una nota (POLIZIA_DI_STATO.txt) in %AppData% che apre con un editor configurato e imposta una immagine di sfondo che gli sviluppatori probabilmente hanno prelevato dalla copertina di un articolo uscito nell’ottobre del 2020 su blogsicilia.

https://cert-agid.gov.it/wp-content/uploads/2022/01/polizia_chaos_ransomware.jpg

Propagazione e sostituzione degli indirizzi Bitcoin

Chaos Ransomware ha inoltre la capacità di:

  • propagarsi su tutte le unità di memorizzazione accessibili rilevate sul sistema compromesso, all’interno delle quali rilascia una copia di se stesso denominata “polizia.exe”;
  • sostituire gli indirizzi bitcoin trovati nella clipboard. Attraverso un form che si registra come ricevitore di notifiche della clipboard (AddClipboardFormatListener) la routine predisposta sostituisce ogni stringa in formato di indirizzo bitcoin eventualmente rilevati con gli indirizzi bc1qw0ll8p9m8uezhqhyd7z459ajrk722yn8c5j4fg e 17CqMQFeuB3NTzJ2X28tfRmWaPyPQgvoHV.

Dalle analisi delle transazioni sui 3 wallet Bitcoin esaminati:

  1. 1G395PJs8ciqvXPZEYb1LfUGPix9h9n3oQ (presente nella nota estorsiva);
  2. bc1qw0ll8p9m8uezhqhyd7z459ajrk722yn8c5j4fg;
  3. 17CqMQFeuB3NTzJ2X28tfRmWaPyPQgvoHV;

al momento solo il terzo sembra essere stato utilizzato e l’ultima transazione in ingresso risale al 25 dicembre scorso.

Come proteggersi da Chaos Ransomware

Il grado di attenzione deve rimanere sempre alto in considerazione anche dei danni irreversibili che questa variante di Chaos Ransomware arreca.

Pertanto, tra le buone pratiche preventive, eseguire backup regolari su sistemi isolati e protetti è l’unica arma efficace che resta per affrontare questa particolare minaccia.

Gli analisti del CERT-AgID hanno condiviso gli IoC con le proprie organizzazioni accreditate.

WHITEPAPER
In 5 step ecco come migliorare i processi di CONTABILITA'
Amministrazione/Finanza/Controllo
Finanza/Assicurazioni
@RIPRODUZIONE RISERVATA

Articolo 1 di 3