C’è un nuovo protagonista nel già vasto panorama dei ransomware: Egregor. Scoperto da poche settimane, questa infezione sembra aver raccolto una sorta di “Greatest Hits” degli strain di malware più devastanti degli ultimi anni, combinando tecniche e strategie già utilizzate da numerosi operatori “del settore”.
Swascan è stata una delle prime aziende di cyber security ad analizzare questo ransomware, caricandone le specifiche tecniche e gli Indicator of Compromise (IoC) all’interno del portale virustotal.com.
Il nome stesso, Egregor, fa riferimento ad un termine dell’occultismo che significa “energia collettiva di un gruppo di persone unite per una sola causa”. Molto appropriato per un gruppo di operatori di ransomware.
Per quanto riguarda i “rapporti di parentela”, la famiglia a cui appartiene, è possibile ricollegarlo a Sekmet Ransomware. Ci sono similitudini, infatti, nelle tecniche di offuscazione, nelle funzioni, nella call API e linee di codice (per esempio %Greetings2target% e %sekhmet_data% poi cambiato in %egregor_data%).
Egregor: tecniche di encryption e algoritmi
Il metodo principale di diffusione di questo particolare ransomware ricalca le classiche metodologie di distribuzione del malware:
- Phishing;
- Bad Links;
- Vulnerability attack.
Come per tutti i ransomware, Egregor, una volta entrato nei sistemi bersaglio, procede alla criptazione di tutti i file su cui riesce a “mettere le mani”; compresi documenti, archivi e database.
In questo caso l’estensione che viene assegnata da Egregor è .[random], assieme al marker XOR.
Per quanto riguarda gli algoritmi di crittografia utilizzati Egregor unisce AES – proprio come un’altra superstar tra i ransomware, Phobos – a RSA-2048 e ChaCha – come Maze.
AES (Advanced Encryption Standard) è l’algoritmo di crittografia preferito da governi, istituzioni finanziarie e imprese.
Per esempio, la U.S. National Security Agency (NSC) lo usa per proteggere le informazioni “top secret” del paese.
Per chiarezza, l’AES non è mai stato crackato. E probabilmente – anche viste e considerate le attuali tendenze tecnologiche – non lo sarà per molti altri anni.
Anche ChaCha, successore di Salsa20, gode di una fama simile.
Da ultimo RSA, che prende il nome dagli scienziati dell’MIT (Rivest, Shamir e Adleman) che l’hanno descritta per la prima volta negli Anni 70.
Si tratta di un algoritmo asimmetrico che utilizza una chiave nota al pubblico per la cifratura, ma richiede una chiave diversa, nota solo al destinatario, per la decifrazione.
È facile immaginare come la combinazione di questi algoritmi renda Egregor impossibile da decriptare senza la chiave.
Il secondo step nell’infection chain e la minaccia “Mass-Media”
Completata la parte di cifratura dei sistemi bersaglio, arriva puntualmente la nota del riscatto.
Questa – anche questa volta – è incredibilmente simile a quella fornita da Sekmet.
Appare in formato .txt, intimando di effettuare il pagamento del riscatto entro 3 giorni per ottenere la chiave in grado di “liberare” le macchine e i sistemi “in ostaggio”.
Qui va prestata attenzione, però, perché la stretta parentela con Sekmet potrebbe far presagire che gli operatori di Egregor potrebbero aver ereditato anche l’abitudine di non fornire la chiave anche dopo l’avvenuto pagamento del riscatto.
A questo rischio si aggiunge un “twist” tutto di Egregor sulla tecnica del doppio riscatto.
Nella nota, gli operatori minacciano di diffondere i dati sottratti non attraverso il classico sito pubblico di Data Leak, ma attraverso una millantata distribuzione ai Mass-Media.
Al momento, l’unica traccia di un’attività simile è la presenza di un sito “Egregor news”, presente però solo nel Dark Web.
Cosa colpisce Egregor
Entrando un po’ di più nei dettagli tecnici del ransomware, Egregor non solo si occupa della cifratura dei dati. Può anche colpire file e funzioni di Windows come:
- %Windows%
- %SystemDrive%
- %Local%
- %LocalLow%
- %ProgramData%
- %system32%
- %Roaming%
- %Temp%
Lo fa per cercare di aumentare significativamente la sua persistenza nei sistemi. Egregor potrebbe anche eseguire diverse altre azioni una volta che infetta i sistemi bersaglio con successo. Tra cui:
- controllare se sta funzionando su un computer reale (e non VM o in Sandbox) e, in caso contrario, auto-cancellarsi;
- ottenere i permessi di lettura e scrittura file e creare mutex;
- ottenere i privilegi come amministratore;
- esfiltrare password e accessi.
Fatto questo, Egregor Ransomware potrebbe anche iniziare a modificare il registro di configurazione di Windows:
- CurrentVersionRun
- CurrentVersionRunOnce
- LogonUIBackground
- WindowsPersonalization
- Control PanelDesktop
- CurrentVersionRun
- CurrentVersionRunOnce
Inoltre, può anche fare in modo che tutti i backup del PC della vittima siano completamente cancellati. Affinché ciò avvenga, potrebbe eseguire i seguenti comandi in Windows Command Prompt:
- sc stop VVS
- sc stop wscsvc
- sc stop WinDefend
- sc stop wuauserv
- sc stop BITS
- sc stop ERSvc
- sc stop WerSvc
- cmd.exe /C bcdedit /set {default} recoveryenabled No
- cmd.exe /C bcdedit /set {default} bootstatuspolicy ignoreallfailures
- C:WindowsSystem32cmd.exe” /C vssadmin.exe Delete Shadows /All /Quiet
I formati di file presi di mira dal ransomware Egregor
Non ci sono limiti nel tipo di file che Egregor può crittare. In ransomware, infatti, può cercare e crittografare i seguenti tipi di file: PNG .PSD .PSPIMAGE .TGA .THM .TIF .TIFF .YUV .AI .EPS .PS .SVG .INDD .PCT .PDF .XLR .XLS .XLSX .ACCDB .DB .DBF .MDB .PDB .SQL .APK .APP .BAT .CGI .COM .EXE .GADGET .JAR .PIF .WSF .DEM .GAM .NES .ROM .SAV CAD Files .DWG .DXF GIS Files .GPX .KML .KMZ .ASP .ASPX .CER .CFM .CSR .CSS .HTM .HTML .JS .JSP .PHP .RSS .XHTML. DOC .DOCX .LOG .MSG .ODT .PAGES .RTF .TEX .TXT .WPD .WPS .CSV .DAT .GED .KEY .KEYCHAIN .PPS .PPT .PPTX ..INI .PRF Encoded Files .HQX .MIM .UUE .7Z .CBR .DEB .GZ .PKG .RAR .RPM .SITX .TAR.GZ .ZIP .ZIPX .BIN .CUE .DMG .ISO .MDF .TOAST .VCD SDF .TAR .TAX2014 .TAX2015 .VCF .XML Audio Files .AIF .IFF .M3U .M4A .MID .MP3 .MPA .WAV .WMA Video Files .3G2 .3GP .ASF .AVI .FLV .M4V .MOV .MP4 .MPG .RM .SRT .SWF .VOB .WMV 3D .3DM .3DS .MAX .OBJ R.BMP .DDS .GIF .JPG ..CRX .PLUGIN .FNT .FON .OTF .TTF .CAB .CPL .CUR .DESKTHEMEPACK .DLL .DMP .DRV .ICNS .ICO .LNK .SYS .CFG.
Come rispondere ad un eventuale attacco
Ovviamente non sempre è possibile evitare un attacco ransomware. Per questo è necessario impostare un piano ben strutturato di Incident Response, pensato in modo tale da essere in grado di adempiere in termini di obblighi legislativi (in particolare è cruciale essere compliant con la normativa vigente di data protection) e di Business Continuity con un approccio coerente, sostenibile, efficace ed efficiente.
Idealmente un piano di Incident Response deve seguire 5 fasi ben strutturate:
- Investigazione: per identificare i vettori d’attacco, determinare i punti d’ingresso, stabilire i target e isolare le tecniche e le metodologie utilizzate.
- Contenimento: per identificare le vulnerabilità e criticità del sistema, definirne il livello di Severity e valutare la possibilità di exploit.
- Sanitizzazione: per eliminare i componenti chiave e scatenanti dell’Incident.
- Recovery: per determinare l’efficacia del piano di Remediation precedente attraverso una Gap Analysis e misurare i Security Key Performance Indicator.
- Reporting: per avere una dettagliata documentazione inerente al processo di data breach Incident Response.
Egregor è l’ennesima riprova di come il cyber crime non si fermi mai e di quanto riesca ad essere innovativo, pescando a piene mani e autoalimentandosi dalle conoscenze che circolano nel Dark Web.
Non abbassiamo la guardia!
