Questo sito web utilizza cookie tecnici e, previo Suo consenso, cookie di profilazione, nostri e di terze parti. Chiudendo questo banner, scorrendo questa pagina o cliccando qualunque suo elemento acconsente all'uso dei cookie. Leggi la nostra Cookie Policy per esteso.OK

L'ANALISI TECNICA

Ransomware GrandCrab 5.2, la nuova variante prende di mira le aziende hi-tech: tutti i dettagli

La nuova variante del ransomware GrandCrab 5.2 si diffonde mediante una massiccia campagna di spear phishing e prende di mira in particolare le aziende del comparto hi-tech. Ecco tutti i dettagli tecnici e i consigli utili per evitare di ritrovarsi con i propri file cifrati e il computer bloccato

03 Apr 2019

Paolo Tarsitano


Una nuova campagna di malspam mirata verso le aziende hi-tech italiane sta diffondendo la nuova variante 5.2 del pericoloso ransomware GrandCrab, un malware “sequestra-PC” scoperto nel mese di aprile del 2018 che ha già causato danni per milioni di dollari in tutto il mondo.

Nelle precedenti varianti, GrandCrab è stato distribuito mediante diverse tecniche criminose: attraverso le reti peer-to-peer, su siti Web compromessi e massicce campagne di spam e phishing. I file criptati dalle vecchie versioni di GrandCrab fino alla 5.1 possono essere decifrati utilizzando l’apposito tool rilasciato da BitDefender.

In quest’ultima campagna di attacco, il vettore di diffusione del ransomware sono e-mail inviate con la tecnica dello spear phishing che hanno in allegato un file Word con una macro malevola. Quest’ultima, il cui codice è ovviamente offuscato e si attiva appena l’utente vittima del ransomware apre il file DOC, è stata progettata per scaricare un file denominato it.txt dall’indirizzo hXXp://134[.]209[.]88[.]23/it.txt e poi eseguirlo tramite il MS Connection Manager Profile Installer usando il comando cmstp.exe con le opzioni /s e /ns.

Analisi tecnica del ransomware GrandCrab 5.2

La prima azione malevola compiuta dalla variante 5.2 del ransomware GrandCrab, il cui codice è compresso con UPX (Ultimate Packer for Executables) ed è quindi auto-eseguibile, è quella di verificare se sulla macchina compromessa è in esecuzione uno dei seguenti processi:

  • fsguiexe.exe
  • AVP.EXE
  • ekrn.exe
  • avgnt.exe
  • ashDisp.exe
  • NortonAntiBot.exe
  • Mcshield.exe
  • avengine.exe
  • cmdagent.exe
  • cfp.exe
  • smc.exe

Un’operazione, questa, che consente a GrandCrab 5.2 di controllare che il sistema non sia protetto da uno dei seguenti antivirus:

  • Kaspersky
  • ESET
  • AntiVir
  • Avast
  • Norton
  • McAfee
  • Panda
  • Sygate Firewall
  • Kerio Personal Firewall
  • Trendmicro
  • F-Secure
  • Comodo
  • Windows Defender

Se così fosse, il ransomware interrompe immediatamente la sua esecuzione e si auto-cancella per non essere identificato. Se il controllo dà invece esito negativo, GrandCrab inizia a raccogliere informazioni relativi all’host compromesso, che al termine della sua azione malevola invierà al server di controllo hXXp://www[.]kakaocorp[.]link/ gestito dai criminal hacker:

  • pc_user=USER
  • pc_name=HOSTNAME
  • pc_group=WORKGROUP
  • pc_lang=it-IT
  • pc_keyb=0
  • os_major=Windows 7 Ultimate
  • os_bit=x64
  • ransom_id=15Chars Hex
  • hdd=C:FIXED_<CODE>/<CODE>,E:REMOTE_<CODE>/<CODE>&”

Dopodiché, verifica la presenza di cartelle condivise sul sistema target ed effettua una ricerca per verificare la presenza su disco della nota di riscatto con le istruzioni per il pagamento del riscatto (archiviata nel file IIPTHBGFBL-MANUAL.txt). Quindi, inizia a cifrare i file presenti nell’hard disk selezionandoli tra quelli che hanno una delle estensioni indicate in figura:

Infine, il ransomware GrandCrab 5.2 cambia lo sfondo del desktop sostituendolo con un’immagine che informa la vittima del fatto che i suoi file sono stati “sequestrati” e che è necessario pagare un riscatto in cryptovaluta se vuole tornarne in possesso.

Concluse tutte le operazioni di cifratura, il ransomware cancella le copie shadow di Windows utilizzando il comando wmic.exe shadowcopy delete: in questo modo impedisce all’utente di ripristinare le vecchie copie di backup dei suoi file.

Ransomware GrandCrab 5.2: i consigli per difendersi

Secondo Federico Griscioli, Information & Cyber Security Advisor presso P4I – Partners4Innovation “ancora una volta risalta come la maggior parte delle campagne di infezione di malware nascono da vere e proprie organizzazioni criminali. Nel caso di GandCrab si parla infatti di RaaS (Ransomware as a Service). Sigla che sta ad indicare la vendita sotto forma di servizio di una vera e propria piattaforma software che ha come unico fine quella di infettare le vittime con uno specifico ransomware. Considerando che questo tipo di malware è veicolato principalmente attraverso tecniche di social engineering è importante rispettare le solite regole di buon senso: diffidare di mail sospette e installare un antivirus da tenere sempre aggiornato. Infatti, al momento questo ransomware è rilevato dalla maggior parte di antivirus in circolazione”.

L’analista di P4I suggerisci quindi alcuni utili consigli per difendersi da questa minaccia: “Se infettati, è opportuno ripulire immediatamente il PC dal malware. Anche se questo non permette di poter accedere ai propri dati, garantisce che non vengano presi in ostaggio nuovi file. Inoltre, potrebbe essere utile monitorare periodicamente il sito nomoreransom nato dall’iniziativa del National High Tech Crime Unit della polizia olandese, dall’European Cybercrime Centre dell’Europol e McAfee in attesa che venga sviluppato un decryption tool per questa specifica versione”.

Infine, continua Griscioli, “se si utilizzano funzionalità tipo System Restore e/o Shadow Copy, vale la pena fare un tentativo di ripristinare il sistema o il volume compromesso ad una versione precedente. Nel caso il tentativo vada a buon fine, è importante ricordarsi di eseguire nuovamente una scansione del sistema con un buon antivirus in modo da escludere che sia stata ripristinata anche un qualsiasi file contenente il ransomware”.

Purtroppo, a differenza delle vecchie varianti, non è al momento disponibile alcun tool di decodifica dei file cifrati dal ransomware GrandCrab 5.2: l’unica arma di difesa, oltre ai preziosi consigli di Griscioli, è quindi la prevenzione.

Ecco alcune semplici regole di sicurezza informatica valide in tutti i contesti e in particolar modo in quelli aziendali, da mettere in atto per non rimanere vittime della variante 5.2 di GrandCrab:

  • effettuare periodiche valutazioni sulla sicurezza dell’organizzazione;
  • eseguire regolarmente i backup;
  • installare il prima possibile le patch su tutti i software presenti nell’infrastruttura dell’organizzazione;
  • istruire i dipendenti sulla “cyber security hygiene”;
  • adottare e implementare una soluzione di sicurezza affidabile per le aziende.

@RIPRODUZIONE RISERVATA

Articolo 1 di 5