L'analisi tecnica

Magniber, il ransomware che si camuffa da finto aggiornamento di Windows 10

Magniber è un ransomware e punta a diffondersi nascondendosi negli aggiornamenti software. In questa nuova campagna di attacco mira a fingersi un aggiornamento di Windows 10. Ecco tutti i dettagli e i consigli per mitigare il rischio

06 Mag 2022
F
Dario Fadda

Research Infosec, fondatore Insicurezzadigitale.com

È stata rilevata un’importante campagna di diffusione del malware Magniber, che infetta i computer vittima operando l’attacco di tipo ransomware.

La campagna viene distribuita con falsi pacchetti di aggiornamento per Windows 10, ma in realtà si tratta di un inganno tramite il quale si cifra il contenuto delle unità storage che contengono i file degli utenti, rendendoli immediatamente inaccessibili.

Il ransomware Magniber e i finti aggiornamenti software

Magniber non è una novità negli ambienti del cyber crimine: già a metà dello scorso mese di gennaio, una sua variante diffuse la propria infezione tramite finti pacchetti di aggiornamento software per i browser Edge e Chrome.

WHITEPAPER
Quali caratteristiche delle VDI garantiscono un aumento di produttività
Datacenter
Virtualizzazione

La nuova campagna, invece, sembrerebbe essere attiva dalla prima settimana di aprile e sfrutterebbe falsi pacchetti di installazione, in formato MSI, prendono nome da quelli che possono sembrare aggiornamenti leciti e necessari per il sistema, come:

  • Win10.0_System_Upgrade_Software.msi
  • Security_Upgrade_Software_Win10.0.msi
  • System.Upgrade.Win10.0-KB47287134.msi
  • System.Upgrade.Win10.0-KB82260712.msi
  • System.Upgrade.Win10.0-KB18062410.msi
  • System.Upgrade.Win10.0-KB66846525.msi

Come si può vedere, quindi, Magniber cerca di far leva su nomi di file familiari all’utente per non destare sospetti, proprio come nel caso dei pacchetti, estremamente comuni, degli aggiornamenti della Knowledge Base, tipici di Microsoft.

Il funzionamento del ransomware Magniber

Una volta installato il presunto pacchetto di aggiornamento, falso, Magniber inizia a crittografare tutti i file presenti nella memoria del sistema infetto aggiungendo agli stessi una nuova estensione “.gtearevf”.

In ogni cartella contenente file, oramai crittografati, viene inserito un file .html, contenente la nota di riscatto, ossia l’elenco delle istruzioni da seguire per avere nuovamente accesso ai propri file, con la chiave di decriptazione. In sostanza l’indirizzo del sito del gruppo criminale che ha sferrato la campagna malevola e gli indirizzi bitcoin per inviare il denaro richiesto sotto forma di riscatto.

Un aspetto interessante è che il gruppo ransomware mette a disposizione online anche un tool di decriptazione gratuito (e funzionante), per poter dimostrare la loro “buona fede”, con il quale l’utente vittima potrà effettivamente decriptare un solo file.

Il problema delle fonti di download

La reperibilità degli aggiornamenti è un grande problema di sicurezza per gli utenti, ben noto da sempre. Non bisognerebbe mai riporre fiducia su aggiornamenti o pacchetti scaricati da fonti di terze parti. Da ciò che è stato rilevato, infatti, questi pacchetti malevoli sono distribuiti su link che emulano siti di crack per programmi generici. Scaricare aggiornamenti da indirizzi Internet di questo tipo espone senza dubbio un grande problema di sicurezza informatica.

Questo è il concetto che è stato pagato a proprie spese dagli utenti che hanno poi scritto per un aiuto ai ricercatori, trovandosi in oggettiva difficoltà.

Siti web non attendibili e non ufficiali, rispetto a ciò che stiamo scaricando, sono sempre da evitare. Nel caso specifico, Windows 10 emanerà pacchetti di aggiornamento solo e unicamente da siti Internet sotto il dominio Microsoft.

Sembra, al momento, che la richiesta di riscatto per la decriptazione dei file, sia l’unica estorsione del gruppo criminale dietro le azioni di Magniber. Non si ha infatti nota di una seconda estorsione, con minaccia alla diffusione dei propri file, anche perché il target di riferimento di questo ransomware sono studenti e hobbisti, che quindi hanno a che fare con crack e software scaricabile online, non tanto le grosse aziende come siamo abituati a documentare negli attacchi di tipo ransomware.

I riscatti richiesti qui sono meno ingenti in valore assoluto rispetto alle classiche estorsioni di tipo ransomware, perché dalla consultazione dei registri blockchain degli indirizzi Bitcoin intercettati, quelli pagati finora sembrano essere tutti attorno ai 2.500 dollari. Ma letti in proporzione, trattandosi di singoli privati e studenti, non sono poi cifre così basse.

@RIPRODUZIONE RISERVATA

Articolo 1 di 5