Conti, il ransomware “invisibile” che blocca sia il disco rigido locale sia le condivisioni di rete

Si chiama Conti la nuova famiglia di ransomware individuata dai ricercatori di sicurezza della Carbon Black Threat Analysis Unit (TAU).

Dall’analisi del codice malevolo nei campioni rilevati, sono emerse diverse caratteristiche uniche e che contraddistinguono questo ransomware. Presentando diverse funzionalità atte a contrastare i processi di rilevamento e di reverse engineering e alcune somiglianze con i famigerati ransomware Sodinokibi e Ryuk, è stato definito, dagli stessi ricercatori, come una “rappresentazione standard del ransomware moderno”.

Le attività principali del ransomware Conti

Seppur le prime sporadiche attività rilevate risalgono allo scorso mese di febbraio, ultimamente il ransomware Conti sembra aver iniziato a colpire su scala più ampia.

Ecco le azioni salienti che lo identificano:

• utilizza un’unica routine di codifica che si applica a quasi ogni stringa di comando adoperata dal malware. Sono presenti ben 277 algoritmi differenti, uno per ciascuna stringa, di cui quasi 230 collocati in subroutine dedicate, espandendo così la quantità di codice realmente implementato per l’esecuzione dei vari processi;

Esempio di subroutine per la decodifica delle stringhe.

• impiega le tecniche di offuscamento del punto precedente anche per nascondere le chiamate API di Windows utilizzate durante la fase di esecuzione. In particolare, le routine dedicate vengono decodificate, risolte nelle API effettive e archiviate in una variabile globale per essere riutilizzate all’occorrenza;

Decodifica delle stringe per la risoluzione delle API.

• compromette e cripta, tramite riga di comando, il disco rigido locale, le condivisioni di rete SMB ed anche indirizzi IP specifici (similitudine con Sodinokibi). Ciò indicherebbe, sempre secondo i ricercatori, che il ransomware sia stato principalmente implementato per una esecuzione e controllo manuale da parte di un attaccante remoto, includendo tuttavia la possibilità di essere eseguito anche senza alcuna interazione (in modo autonomo);
• interrompe il ripristino del sistema locale, eliminando le copie Shadow tramite il comando svssadmin;

Alcuni comandi vssadmin eseguiti dal ransomware Conti.

• blocca i servizi di Windows che potrebbero interferire con la corretta esecuzione delle proprie routine tramite una serie di comandi. Sono previsi 160 comandi singoli, 146 dei quali incentrati sull’arresto di possibili servizi Windows in esecuzione (similitudine con Ryuk);

Alcuni dei servizi che possono essere arrestati dal ransomware Conti.

• utilizza anche il servizio Restart Manager di Windows (ovvero quel componente usato per arrestare applicazioni e file eventualmente non ancora chiusi in modo corretto, durante il riavvio del sistema) per forzare la chiusura di tutte quelle applicazioni ancora aperte e che potrebbero bloccare/rallentare il processo di crittografia. Nella figura che segue si riporta una porzione di codice studiato allo scopo.

Porzione di codice per l’invocazione del Restart Manager di Windows.

Ulteriori dettagli del ransomware Conti

Per quanto riguarda il processo di cifratura, i ricercatori evidenziano come Conti, rispetto a molte altre famiglie di ransomware, risulti molto più veloce grazie:

• all’utilizzo di una crittografia AES-256 tramite una chiave pubblica codificata;
• all’impiego simultaneo di 32 thread indipendenti, sfruttando le prestazioni delle CPU multi core sempre più impiegate nei dispositivi;
• a un processo di ricognizione dei dati da crittografare che risulta più fluido. Vengono esclusi dalla cifratura i file con determinate estensioni (.exe, .dll, .lnk e .sys) e quelli contenuti in particolari cartelle.

Elenco di cartelle che il ransomware ignora nel processo di crittografia.

Infine, al termine delle operazioni di crittografia:

• tutti i file compromessi, risultano avere un’estensione extra in comune “.CONTI”;
• viene generata una nota di riscatto denominata CONTI_README.txt;
• una volta acquisita anche la cache ARP, per continuare una diffusione laterale all’interno della rete cui il sistema compromesso risulta collegato, il malware scansiona la rete per individuare gli indirizzi IP locali nel tentativo di accedere e crittografare i relativi dispositivi.

Come attenuare l’esposizione al rischio

Come per tutte le famiglie ransomware anche in questo caso è possibile agire individuando ogni possibile avvisaglia.

Poiché al momento non esistono soluzioni risolutive efficaci, per scongiurare possibili eventi non rilevati, occorrerà sempre adottare dei sistemi di telemetria sulle attività di rete e degli host, cercando di arginare o bloccare anzitempo eventuali propagazioni laterali, l’escalation di privilegi e la comunicazione con la centrale di controllo, secondo un approccio proattivo e finalizzato ad attenuare l’esposizione al rischio.

Di seguito, alcuni accorgimenti per una misura di mitigazione:

• aggiornare periodicamente sistemi e applicazioni. Valutare, nello specifico, l’implementazione sugli apparati di sicurezza di tutti gli IoC pubblicati nel report dettagliato Carbon Black (TAU);
• limitare gli accessi remoti o proteggerli tramite autenticazione multi fattore;
• disattivare gli account amministrativi standard, utilizzandone altri creati allo scopo;
• segmentare la rete separando e isolando i sistemi critici;
• custodire adeguatamente le copie di sicurezza, adottando strategie di backup preferibilmente con soluzioni offline o cloud based;
• infondere nella cultura aziendale la consapevolezza della sicurezza e delle buone regole di condotta, verificandone l’attuazione con audit periodici.