L'ANALISI TECNICA

Ransomware GrandCrab 5.2, la nuova variante prende di mira le aziende hi-tech: tutti i dettagli

La nuova variante del ransomware GrandCrab 5.2 si diffonde mediante una massiccia campagna di spear phishing e prende di mira in particolare le aziende del comparto hi-tech. Ecco tutti i dettagli tecnici e i consigli utili per evitare di ritrovarsi con i propri file cifrati e il computer bloccato

03 Apr 2019

Una nuova campagna di malspam mirata verso le aziende hi-tech italiane sta diffondendo la nuova variante 5.2 del pericoloso ransomware GrandCrab, un malware “sequestra-PC” scoperto nel mese di aprile del 2018 che ha già causato danni per milioni di dollari in tutto il mondo.

Nelle precedenti varianti, GrandCrab è stato distribuito mediante diverse tecniche criminose: attraverso le reti peer-to-peer, su siti Web compromessi e massicce campagne di spam e phishing. I file criptati dalle vecchie versioni di GrandCrab fino alla 5.1 possono essere decifrati utilizzando l’apposito tool rilasciato da BitDefender.

In quest’ultima campagna di attacco, il vettore di diffusione del ransomware sono e-mail inviate con la tecnica dello spear phishing che hanno in allegato un file Word con una macro malevola. Quest’ultima, il cui codice è ovviamente offuscato e si attiva appena l’utente vittima del ransomware apre il file DOC, è stata progettata per scaricare un file denominato it.txt dall’indirizzo hXXp://134[.]209[.]88[.]23/it.txt e poi eseguirlo tramite il MS Connection Manager Profile Installer usando il comando cmstp.exe con le opzioni /s e /ns.

Analisi tecnica del ransomware GrandCrab 5.2

La prima azione malevola compiuta dalla variante 5.2 del ransomware GrandCrab, il cui codice è compresso con UPX (Ultimate Packer for Executables) ed è quindi auto-eseguibile, è quella di verificare se sulla macchina compromessa è in esecuzione uno dei seguenti processi:

WHITEPAPER
GUIDA PRATICA contro il Phishing: scopri come tutelare la tua azienda!
CIO
Sicurezza
  • fsguiexe.exe
  • AVP.EXE
  • ekrn.exe
  • avgnt.exe
  • ashDisp.exe
  • NortonAntiBot.exe
  • Mcshield.exe
  • avengine.exe
  • cmdagent.exe
  • cfp.exe
  • smc.exe

Un’operazione, questa, che consente a GrandCrab 5.2 di controllare che il sistema non sia protetto da uno dei seguenti antivirus:

  • Kaspersky
  • ESET
  • AntiVir
  • Avast
  • Norton
  • McAfee
  • Panda
  • Sygate Firewall
  • Kerio Personal Firewall
  • Trendmicro
  • F-Secure
  • Comodo
  • Windows Defender

Se così fosse, il ransomware interrompe immediatamente la sua esecuzione e si auto-cancella per non essere identificato. Se il controllo dà invece esito negativo, GrandCrab inizia a raccogliere informazioni relativi all’host compromesso, che al termine della sua azione malevola invierà al server di controllo hXXp://www[.]kakaocorp[.]link/ gestito dai criminal hacker:

  • pc_user=USER
  • pc_name=HOSTNAME
  • pc_group=WORKGROUP
  • pc_lang=it-IT
  • pc_keyb=0
  • os_major=Windows 7 Ultimate
  • os_bit=x64
  • ransom_id=15Chars Hex
  • hdd=C:FIXED_<CODE>/<CODE>,E:REMOTE_<CODE>/<CODE>&”

Dopodiché, verifica la presenza di cartelle condivise sul sistema target ed effettua una ricerca per verificare la presenza su disco della nota di riscatto con le istruzioni per il pagamento del riscatto (archiviata nel file IIPTHBGFBL-MANUAL.txt). Quindi, inizia a cifrare i file presenti nell’hard disk selezionandoli tra quelli che hanno una delle estensioni indicate in figura:

Infine, il ransomware GrandCrab 5.2 cambia lo sfondo del desktop sostituendolo con un’immagine che informa la vittima del fatto che i suoi file sono stati “sequestrati” e che è necessario pagare un riscatto in cryptovaluta se vuole tornarne in possesso.

Concluse tutte le operazioni di cifratura, il ransomware cancella le copie shadow di Windows utilizzando il comando wmic.exe shadowcopy delete: in questo modo impedisce all’utente di ripristinare le vecchie copie di backup dei suoi file.

Ransomware GrandCrab 5.2: i consigli per difendersi

Secondo Federico Griscioli, Information & Cyber Security Advisor presso P4I – Partners4Innovation “ancora una volta risalta come la maggior parte delle campagne di infezione di malware nascono da vere e proprie organizzazioni criminali. Nel caso di GandCrab si parla infatti di RaaS (Ransomware as a Service). Sigla che sta ad indicare la vendita sotto forma di servizio di una vera e propria piattaforma software che ha come unico fine quella di infettare le vittime con uno specifico ransomware. Considerando che questo tipo di malware è veicolato principalmente attraverso tecniche di social engineering è importante rispettare le solite regole di buon senso: diffidare di mail sospette e installare un antivirus da tenere sempre aggiornato. Infatti, al momento questo ransomware è rilevato dalla maggior parte di antivirus in circolazione”.

L’analista di P4I suggerisci quindi alcuni utili consigli per difendersi da questa minaccia: “Se infettati, è opportuno ripulire immediatamente il PC dal malware. Anche se questo non permette di poter accedere ai propri dati, garantisce che non vengano presi in ostaggio nuovi file. Inoltre, potrebbe essere utile monitorare periodicamente il sito nomoreransom nato dall’iniziativa del National High Tech Crime Unit della polizia olandese, dall’European Cybercrime Centre dell’Europol e McAfee in attesa che venga sviluppato un decryption tool per questa specifica versione”.

Infine, continua Griscioli, “se si utilizzano funzionalità tipo System Restore e/o Shadow Copy, vale la pena fare un tentativo di ripristinare il sistema o il volume compromesso ad una versione precedente. Nel caso il tentativo vada a buon fine, è importante ricordarsi di eseguire nuovamente una scansione del sistema con un buon antivirus in modo da escludere che sia stata ripristinata anche un qualsiasi file contenente il ransomware”.

Purtroppo, a differenza delle vecchie varianti, non è al momento disponibile alcun tool di decodifica dei file cifrati dal ransomware GrandCrab 5.2: l’unica arma di difesa, oltre ai preziosi consigli di Griscioli, è quindi la prevenzione.

Ecco alcune semplici regole di sicurezza informatica valide in tutti i contesti e in particolar modo in quelli aziendali, da mettere in atto per non rimanere vittime della variante 5.2 di GrandCrab:

  • effettuare periodiche valutazioni sulla sicurezza dell’organizzazione;
  • eseguire regolarmente i backup;
  • installare il prima possibile le patch su tutti i software presenti nell’infrastruttura dell’organizzazione;
  • istruire i dipendenti sulla “cyber security hygiene”;
  • adottare e implementare una soluzione di sicurezza affidabile per le aziende.
@RIPRODUZIONE RISERVATA

Speciale PNRR

Tutti
Incentivi
PA
Sostemibilità
Analisi
Formazione
Salute digitale
Sicurezza
Sostenibilità
Digital Economy
Formazione
Trasferimento tecnologico, il Mise mette sul piatto 7,5 milioni
Strategie
PSN e Strategia Cloud Italia: a che punto siamo e come supportare la PA in questo percorso
Dispersione idrica
Siccità: AI e analisi dei dati possono ridurre gli sprechi d’acqua. Ecco gli interventi necessari
PNRR
Cloud, firmato il contratto per l’avvio di lavori del Polo strategico
Formazione
Competenze digitali, stanziati 48 milioni per gli Istituti tecnologici superiori
Iniziative
Digitalizzazione delle reti idriche: oltre 600 milioni per 21 progetti
Competenze e competitività
PNRR, così i fondi UE possono rilanciare la ricerca e l’Università
Finanziamenti
PNRR, si sbloccano i fondi per l’agrisolare
Sanità post-pandemica
PNRR, Missione Salute: a che punto siamo e cosa resta da fare
Strategie
Sovranità e autonomia tecnologica nazionale: come avviare un processo virtuoso e sostenibile
La relazione
Pnrr e PA digitale, l’alert della Corte dei conti su execution e capacità di spesa
L'editoriale
Elezioni 2022, la sfida digitale ai margini del dibattito politico
Strategie
Digitale, il monito di I-Com: “Senza riforme Pnrr inefficace”
Transizione digitale
Pnrr: arrivano 321 milioni per cloud dei Comuni, spazio e mobilità innovativa
L'analisi I-COM
Il PNRR alla prova delle elezioni: come usare bene le risorse e centrare gli obiettivi digitali
Cineca
Quantum computing, una svolta per la ricerca: lo scenario europeo e i progetti in corso
L'indice europeo
Desi, l’Italia scala due posizioni grazie a fibra e 5G. Ma è (ancora) allarme competenze
L'approfondimento
PNRR 2, ecco tutte le misure per cittadini e imprese: portale sommerso, codice crisi d’impresa e sismabonus, cosa cambia
Servizi digitali
PNRR e trasformazione digitale: ecco gli investimenti e le riforme previste per la digitalizzazione della PA
Legal health
Lo spazio europeo dei dati sanitari: come circoleranno le informazioni sulla salute nell’Unione Europea
Servizi digitali
PNRR e PA digitale: non dimentichiamo la dematerializzazione
Digital Healthcare transformation
La trasformazione digitale degli ospedali
Governance digitale
PA digitale, è la volta buona? Così misure e risorse del PNRR possono fare la differenza
Servizi digitali
Comuni e digitale, come usare il PNRR senza sbagliare
La survey
Pnrr e digitale accoppiata vincente per il 70% delle pmi italiane
Missione salute
Fascicolo Sanitario Elettronico alla prova del PNRR: limiti, rischi e opportunità
Servizi pubblici
PNRR: come diventeranno i siti dei comuni italiani grazie alle nuove risorse
Skill gap
PNRR, la banda ultra larga crea 20.000 nuovi posti di lavoro
Il Piano
Spazio, Colao fa il punto sul Pnrr: i progetti verso la milestone 2023
FORUMPA2022
PNRR e trasformazione digitale: rivedi i Talk di FORUM PA 2022 in collaborazione con le aziende partner
I contratti
Avio, 340 milioni dal Pnrr per i nuovi propulsori a metano
Next Generation EU
PNRR, a che punto siamo e cosa possono aspettarsi le aziende private
Fondi
Operativo il nuovo portale del MISE con tutti i finanziamenti per le imprese
Servizi comunali
Il PNRR occasione unica per i Comuni digitali: strumenti e risorse per enti e cittadini
Healthcare data platform
PNRR dalla teoria alla pratica: tecnologie e soluzioni per l’innovazione in Sanità
Skill
Competenze digitali, partono le Reti di facilitazione
Gli obiettivi
Scuola 4.0, PNRR ultima chance: ecco come cambierà il sistema formativo
Sistema Paese
PNRR 2, è il turno della space economy
FORUM PA 2022
FORUM PA 2022: la maturità digitale dei comuni italiani rispetto al PNRR
Analisi
PNRR: dalla Ricerca all’impresa, una sfida da cogliere insieme
Innovazione
Pnrr, il Dipartimento per la Trasformazione digitale si riorganizza
FORUM PA 2022
PA verde e sostenibile: il ruolo di PNRR, PNIEC, energy management e green public procurement
Analisi
PNRR, Comuni e digitalizzazione: tutto su fondi e opportunità, in meno di 3 minuti. Guarda il video!
Rapporti
Competenze digitali e servizi automatizzati pilastri del piano Inps
Analisi
Attuazione del PNRR: il dialogo necessario tra istituzioni e società civile. Rivedi lo Scenario di FORUM PA 2022
Progetti
Pnrr, fondi per il Politecnico di Torino. Fra i progetti anche IS4Aerospace
Analisi
PNRR, Colao fa il punto sulla transizione digitale dell’Italia: «In linea con tutte le scadenze»
La Svolta
Ict, Istat “riclassifica” i professionisti. Via anche al catalogo dati sul Pnrr
Analisi
Spazio, Colao fa il punto sul Pnrr: i progetti verso la milestone 2023
FORUM PA 2022
Ecosistema territoriale sostenibile: l’Emilia Romagna tra FESR e PNRR
Il Piano
Innovazione, il Mise “centra” gli obiettivi Pnrr: attivati 17,5 miliardi
Analisi
PNRR: raggiunti gli obiettivi per il primo semestre 2022. Il punto e qualche riflessione
Analisi
PNRR: dal dialogo tra PA e società civile passa il corretto monitoraggio dei risultati, tra collaborazione e identità dei luoghi
Webinar
Comuni e PNRR: un focus sui bandi attivi o in pubblicazione
Analisi
Formazione 4.0: cos’è e come funziona il credito d’imposta
PA e Sicurezza
PA e sicurezza informatica: il ruolo dei territori di fronte alle sfide della digitalizzazione
PA e sicurezza
PNRR e servizi pubblici digitali: sfide e opportunità per Comuni e Città metropolitane
Water management
Water management in Italia: verso una transizione “smart” e “circular” 
LE RISORSE
Transizione digitale, Simest apre i fondi Pnrr alle medie imprese
Prospettive
Turismo, cultura e digital: come spendere bene le risorse del PNRR
Analisi
Smart City: quale contributo alla transizione ecologica
Decarbonizzazione
Idrogeno verde, 450 milioni € di investimenti PNRR, Cingolani firma
Unioncamere
PNRR, imprese in ritardo: ecco come le Camere di commercio possono aiutare
I fondi
Industria 4.0: solo un’impresa su tre pronta a salire sul treno Pnrr
Formazione
Trasferimento tecnologico, il Mise mette sul piatto 7,5 milioni
Strategie
PSN e Strategia Cloud Italia: a che punto siamo e come supportare la PA in questo percorso
Dispersione idrica
Siccità: AI e analisi dei dati possono ridurre gli sprechi d’acqua. Ecco gli interventi necessari
PNRR
Cloud, firmato il contratto per l’avvio di lavori del Polo strategico
Formazione
Competenze digitali, stanziati 48 milioni per gli Istituti tecnologici superiori
Iniziative
Digitalizzazione delle reti idriche: oltre 600 milioni per 21 progetti
Competenze e competitività
PNRR, così i fondi UE possono rilanciare la ricerca e l’Università
Finanziamenti
PNRR, si sbloccano i fondi per l’agrisolare
Sanità post-pandemica
PNRR, Missione Salute: a che punto siamo e cosa resta da fare
Strategie
Sovranità e autonomia tecnologica nazionale: come avviare un processo virtuoso e sostenibile
La relazione
Pnrr e PA digitale, l’alert della Corte dei conti su execution e capacità di spesa
L'editoriale
Elezioni 2022, la sfida digitale ai margini del dibattito politico
Strategie
Digitale, il monito di I-Com: “Senza riforme Pnrr inefficace”
Transizione digitale
Pnrr: arrivano 321 milioni per cloud dei Comuni, spazio e mobilità innovativa
L'analisi I-COM
Il PNRR alla prova delle elezioni: come usare bene le risorse e centrare gli obiettivi digitali
Cineca
Quantum computing, una svolta per la ricerca: lo scenario europeo e i progetti in corso
L'indice europeo
Desi, l’Italia scala due posizioni grazie a fibra e 5G. Ma è (ancora) allarme competenze
L'approfondimento
PNRR 2, ecco tutte le misure per cittadini e imprese: portale sommerso, codice crisi d’impresa e sismabonus, cosa cambia
Servizi digitali
PNRR e trasformazione digitale: ecco gli investimenti e le riforme previste per la digitalizzazione della PA
Legal health
Lo spazio europeo dei dati sanitari: come circoleranno le informazioni sulla salute nell’Unione Europea
Servizi digitali
PNRR e PA digitale: non dimentichiamo la dematerializzazione
Digital Healthcare transformation
La trasformazione digitale degli ospedali
Governance digitale
PA digitale, è la volta buona? Così misure e risorse del PNRR possono fare la differenza
Servizi digitali
Comuni e digitale, come usare il PNRR senza sbagliare
La survey
Pnrr e digitale accoppiata vincente per il 70% delle pmi italiane
Missione salute
Fascicolo Sanitario Elettronico alla prova del PNRR: limiti, rischi e opportunità
Servizi pubblici
PNRR: come diventeranno i siti dei comuni italiani grazie alle nuove risorse
Skill gap
PNRR, la banda ultra larga crea 20.000 nuovi posti di lavoro
Il Piano
Spazio, Colao fa il punto sul Pnrr: i progetti verso la milestone 2023
FORUMPA2022
PNRR e trasformazione digitale: rivedi i Talk di FORUM PA 2022 in collaborazione con le aziende partner
I contratti
Avio, 340 milioni dal Pnrr per i nuovi propulsori a metano
Next Generation EU
PNRR, a che punto siamo e cosa possono aspettarsi le aziende private
Fondi
Operativo il nuovo portale del MISE con tutti i finanziamenti per le imprese
Servizi comunali
Il PNRR occasione unica per i Comuni digitali: strumenti e risorse per enti e cittadini
Healthcare data platform
PNRR dalla teoria alla pratica: tecnologie e soluzioni per l’innovazione in Sanità
Skill
Competenze digitali, partono le Reti di facilitazione
Gli obiettivi
Scuola 4.0, PNRR ultima chance: ecco come cambierà il sistema formativo
Sistema Paese
PNRR 2, è il turno della space economy
FORUM PA 2022
FORUM PA 2022: la maturità digitale dei comuni italiani rispetto al PNRR
Analisi
PNRR: dalla Ricerca all’impresa, una sfida da cogliere insieme
Innovazione
Pnrr, il Dipartimento per la Trasformazione digitale si riorganizza
FORUM PA 2022
PA verde e sostenibile: il ruolo di PNRR, PNIEC, energy management e green public procurement
Analisi
PNRR, Comuni e digitalizzazione: tutto su fondi e opportunità, in meno di 3 minuti. Guarda il video!
Rapporti
Competenze digitali e servizi automatizzati pilastri del piano Inps
Analisi
Attuazione del PNRR: il dialogo necessario tra istituzioni e società civile. Rivedi lo Scenario di FORUM PA 2022
Progetti
Pnrr, fondi per il Politecnico di Torino. Fra i progetti anche IS4Aerospace
Analisi
PNRR, Colao fa il punto sulla transizione digitale dell’Italia: «In linea con tutte le scadenze»
La Svolta
Ict, Istat “riclassifica” i professionisti. Via anche al catalogo dati sul Pnrr
Analisi
Spazio, Colao fa il punto sul Pnrr: i progetti verso la milestone 2023
FORUM PA 2022
Ecosistema territoriale sostenibile: l’Emilia Romagna tra FESR e PNRR
Il Piano
Innovazione, il Mise “centra” gli obiettivi Pnrr: attivati 17,5 miliardi
Analisi
PNRR: raggiunti gli obiettivi per il primo semestre 2022. Il punto e qualche riflessione
Analisi
PNRR: dal dialogo tra PA e società civile passa il corretto monitoraggio dei risultati, tra collaborazione e identità dei luoghi
Webinar
Comuni e PNRR: un focus sui bandi attivi o in pubblicazione
Analisi
Formazione 4.0: cos’è e come funziona il credito d’imposta
PA e Sicurezza
PA e sicurezza informatica: il ruolo dei territori di fronte alle sfide della digitalizzazione
PA e sicurezza
PNRR e servizi pubblici digitali: sfide e opportunità per Comuni e Città metropolitane
Water management
Water management in Italia: verso una transizione “smart” e “circular” 
LE RISORSE
Transizione digitale, Simest apre i fondi Pnrr alle medie imprese
Prospettive
Turismo, cultura e digital: come spendere bene le risorse del PNRR
Analisi
Smart City: quale contributo alla transizione ecologica
Decarbonizzazione
Idrogeno verde, 450 milioni € di investimenti PNRR, Cingolani firma
Unioncamere
PNRR, imprese in ritardo: ecco come le Camere di commercio possono aiutare
I fondi
Industria 4.0: solo un’impresa su tre pronta a salire sul treno Pnrr