giovedì 19 gennaio 2017

Una nuova famiglia di ransomware avanzatissima : Spora!


Questa settimana è stata individuata una nuova famiglia di ransomware: si chiama Spora, la traduzione dal russo di "spore". Le  caratteristiche più importanti di questo nuovo ransomware sono una complessa routine per la crittografia, la capacità di lavorare offline e un sito per il  pagamento del riscatto molto avanzato, per il momento il più sofisticato che abbiamo visto tra quelli creati dagli autori dei ransomware.

Le modalità di distribuzione...
Attualmente è distribuito tramite e-mail di spam mascherate da fatture. Queste e-mail contengono allegati in forma di file ZIP che contengono due file HTA (HTML Application) PDF.HTA o DOC.HTA. Già qui è visibile l'inganno: nei computer Windows dove non è attivata la visualizzazione delle estensioni de file, questi due file potrebbero apparire come innocui PDF o Doc, mentre l'apertura di uno di questi file avvia immediatamente il ransomware. Se l'utente cade nella trappola e apre i supposti "documenti", l'infezione si avvierà in background.


Se l'utente apre il file  HTA, verrà estratto un file JavaScript denominato close.js nella cartella
% Temp%, che estrae a sua volta un eseguibile nella stessa cartella e lo avvia.
Questo eseguibile utilizza un nome generato in modo casuale e comincia a crittografare tutti i file.
Inoltre, il file HTA  contiene un  DOCX, naturalmente corrotto, che mostrerà solo un errore.


Anche altre famiglie di malware utilizzano questo stesso trucco: l'apertura di file danneggiati al fine di indurre gli utenti a pensare che il file si sia danneggiato durante il trasferimento e-mail o l'operazione di download in modo da non insospettire dell'infezione in corso .

Diversamente dalla maggior parte delle famiglie ransomware di oggi, Spora funziona offline e non genera alcun traffico di rete per server online. Per fortuna non bersaglia (per ora) un gran numero di file ma per il momento funziona solo con le seguenti estensioni:


.xls, .doc, .xlsx, .docx, .rtf, .odt, .pdf, .psd, .dwg, .cdr, .cd, .mdb, .1cd, .dbf, .sqlite, .accdb, .jpg, .jpeg, .tiff, .zip, .rar, .7z, .backup

Il processo di crittografia non aggiunge alcuna estensione in più alla fine del file, lasciando intatti i nomi dei file. Per evitare di danneggiare i computer al punto da impedire le normali procedure di avvio e altre operazioni, Spora salta file che si trovano in determinate cartelle. Per impostazione predefinita, Spora non cripta i file in cartelle che contengono le seguenti stringhe nei loro nomi:

games
program files (x86)
program files
windows

Spora utilizza una crittografia di altissimo livello...
L'intera operazione di cifratura sembra essere molto complicata. Spora esegue una serie complessa di operazioni per creare il file .KEY e crittografare i file. Genera una  chiave RSA, genera una chiave AES, cripta la  chiave RSA con la  chiave AES, poi cripta la  chiave AES con una chiave pubblica incorporata nel file eseguibile, infine salva entrambe le chiavi crittografate su [.KEY ] file.

Invece per i file dei dati dell'utente, la routine  è più semplice e più veloce. Genera una chiave AES, la cifra  con una chiave RSA generata precedentemente, cripta i file con la chiave AES e poi salva tutto nel file.  Al termine del processo di crittografia, Spora esegue anche il seguente comando CLI, il quale elimina copie shadow di volume, disattiva Windows Startup Repair e cambia BootStatusPolicy.

process call create "cmd.exe /c vssadmin.exe delete shadows /all /quiet & bcdedit.exe /set {default} recoveryenabled no & bcdedit.exe /set {default} bootstatuspolicy ignoreallfailures"

La richiesta di riscatto...
Una volta che il processo di crittografia termina, il ransomware copia nel desktop dell'utente una richiesta di riscatto, il file .KEY e altre cartelle .

La richiesta di riscatto contiene istruzioni semplici e un ID di infezione, specifici per ogni vittima.
L'ID infezione è nel formato  CCCXX-XXXXX-XXXXX-XXXXX-XXXXX-XXXXX o CCxxx-XXXXX-XXXXX-XXXXX, dove CCC e CC sono le due o tre lettere identificative del paese, e X sono caratteri alfa-numerici.

Il servizio di decrittazione è  professionale...



Il portale di decrittazione di Spora si trova attualmente in un dominio accessibile al pubblico.
Questo dominio è in realtà un gateway per un sito TOR nascosto che non viene indicato pubblicamente. Il gruppo Spora sta utilizzando almeno dieci URL per il servizio di decrittazione.

Una volta che gli utenti accedono a questo sito, è necessario inserire l'ID univoco dell'infezione presentato nella  richiesta di riscatto. Il servizio di decrittazione di Spora fa qualcosa che non si è visto in qualsiasi altro sito di decrittazione: prima di utilizzare questo sito, gli utenti devono"sincronizzare" il loro computer con il portale di decodifica caricando il file .KEY.
Sincronizzando il file di chiave, le informazioni sulla crittografia del computer si caricano sul sito di pagamento e vengono associate all'ID univoco. Dopo questa operazione le vittime possono  utilizzare il resto delle opzioni disponibili sul sito. Il portale è ben organizzato, completo di descrizioni e comandi utili che appaiono quando si passa sopra alcune opzioni.
E' anche l' unico  ransomware che consente diversi acquisti a seconda delle particolari esigenze della vittima. Queste opzioni, ordinate nella  sezione denominata " MyPurchasings " consentono agli utenti di:

Decifrare i propri file (attualmente $ 79)
Acquistare immunità da future infezioni spora (attualmente $ 50)
Rimuovere tutti i file Spora-correlate dopo aver pagato il riscatto (attualmente $ 20)
Ripristinare un file (attualmente $ 30)
Ripristinare 2 file gratis


L'attuale versione del portale di decodifica utilizza anche un certificato SSL rilasciato da Comodo, proteggendo il traffico in entrata tramite HTTPS. Tutti i pagamenti Spora vengono gestiti solo in Bitcoin. Gli utenti caricano Bitcoin sul proprio conto Spora, che possono quindi utilizzare per l'acquisto di una qualsiasi delle opzioni viste sopra.

Quando le vittime caricano il file e si sincronizzano al portale di decrittografia, il servizio Spora mostra un prezzo diverso in base alla quantità e al tipo di dati che sono stati criptati sul computer della vittima. Questo permette agli sviluppatori di ricevere molto di più per i computer aziendali o per le società di progettazione che di solito posseggono file più importanti rispetto al recupero dei dati per un PC di casa.

Il portale di decodifica include anche un widget di chat che consente alle vittime di inviare fino a cinque messaggi. Attraverso questa chat le vittime ricevono un Decrypter, una volta pagato il riscatto.

Colpiti gli utenti russi...
Per il momento sembra che il malware stia attaccando solo gli utenti russi, infatti tutte le sue componenti sono solo il russo : le email, le note di riscatto.

Ma Spora sembra essere una famiglia ransomware molto avanzata e ben gestita come Cerber e Locky, e potremmo presto vedere i suoi gestori che si espandono dalla Russia ad altri paesi in tutto il mondo.

mercoledì 18 gennaio 2017

Al Namrood Ransomware: campagna di attacchi contro utenti italiani


Ci stanno arrivando molte segnalazioni di infezione, in Italia, del ransomware Al Namrood.
Nel dettaglio è in diffusione la versione 2.0 dello stesso ransomware, messa in diffusione qualche settimana fa in sostituzione alla versione 1.0 che era stata decriptata con successo.

Come si diffonde?
Questo ransomware non si diffonde tramite le classiche vie (campagna di email di spam con allegati o exploit kit): attacca i server via desktop remoto, con un brute- force attack contro la porta RDP.  In sunto è un attacco mirato, che tenta di individuare le password delle porte (RDP) aperte per ottenere l'accesso.
Le vecchie versioni erano in diffusione tramite le più comuni tecniche di campagne di spam.


martedì 17 gennaio 2017

Il ransomware Merry X-MAS è arrivato anche in Italia.



Ci sono arrivate segnalazioni di infezione da ransomware Merry Christmas, detto anche  Merry X-Mas, dal contenuto della nota di riscatto. Cripta i file con estensioni ".merry", ".PEGS1", ".MRCR1" or ".RARE1"

Come viene distribuito?
Il ransomware Merry X-Mas viene distribuito tramite campagne di email di SPAM in varie parti del mondo. La prima individuata era destinata ad utenti statunitensi: la email fingeva di essere un reclamo della Federal Trade Commission. Qui sotto un esempio:

lunedì 16 gennaio 2017

La nuova piattaforma StrongBox: verso un servizio sempre più professionale


Cos'è il backup in cloud?
Il backup è la duplicazione dei file su un supporto di memoria. Questo può essere eseguito su qualsiasi genere di supporto: fisico (chiavetta USB o Hardisk) oppure online.
La migliore forma di salvataggio in termini di sicurezza è il salvataggio in cloud: si affidano i dati ad un terzo soggetto che si occupa della loro conservazione e sicurezza online. Il cloud è un server protetto, accessibile da qualsiasi dispositivo in qualsiasi momento attraverso internet. Sia aziende che privati hanno dati importanti che non vogliono assolutamente perdere, ma può capitare di cancellarli per eventi accidentali o che questi vengano criptati da cyber-criminali : eseguire il backup è l'unica soluzione per poter ripristinare in qualsiasi momento i propri file, eseguirlo in cloud garantisce un luogo di storage fuori dalla rete aziendale, quindi al riparo da ogni evento critico che potrebbe avvenire nella rete.

Perchè il supporto in cloud è più sicuro e comodo dei dispositivi fisici?

martedì 10 gennaio 2017

WordPress, Joomla, e Magento restano i CMS più attaccati


Sulla base di un'analisi statistica effettuata da Sucuri (qui è possibile visualizzare il testo completo) su dati raccolti di 7.937 siti web, pare che Wordpress, Joomla e Magento, in quest'ordine, continuino ad essere le piattaforme CMS più violate nel corso del terzo trimestre 2016(luglio-agosto-settembre).
Tra tutti i siti web violati il 74% ha Wordpress, dato non particolarmente sorprendente se si tiene conto della grandezza della quota di mercato del CMS tra i siti di oggi.
Per il terzo trimestre 2016 restano invariate le percentuali dei siti con Joomla e Magento violati, ovvero rispettivamente 17% e 6%. Altre voci di rilievo possono essere Drupal, vBulletin, e MODx, ma gli incidenti che coinvolgono queste piattaforme, anche se sommati tra loro, non superano il 2.25% delle violazioni annue totali.

lunedì 9 gennaio 2017

AV-TEST valuta Seqrite Eps e Quick Heal Total Security come Top product per utenti Windows


Nel corso del Dicembre 2016 l'AV TEST Institute ha riconosciuto Seqrite EPS e Quick Heal Total Security come "Top Product" nell'ambito del "Product Review and Certification Report for Sep-Oct 2016". AV TEST produce ogni anno severissimi test comparativi o su singoli prodotti, secondo procedure di certificazione molto severe che valutano la resa complessiva dei singoli prodotti. I test avvengono riproducendo scenari di test verosimili e con attacchi da parte di minacce informatiche realmente diffuse nel web. Ogni prodotto deve quindi dimostrare le proprie capacità usando tutti i propri componenti e livelli di sicurezza.

I risultati di Quick Heal Total Security

giovedì 5 gennaio 2017

Firecrypt, il ransomware dotato di un componente DDoS


E' stata rilevata una nuova famiglia di ransomware, chiamata FireCrypt: è ad oggi poco diffusa, ma è interessante trattarla perchè ha una caratteristica particolare: oltre a criptare i file della vittima tenta di lanciare un attacco DDoS (molto debole) verso un URL contenuto nel suo source code.

Fyrecrypt ha un vero e proprio kit di "costruzione di ransomware"
I malware di solito sono generati compilandone il codice sorgente, oppure ancora usando un software che in automatico prende alcuni parametri input e output e organizza un malware personalizzato, per una specifica campagna. Questi software sono conosciuti come "costruttori di malware", o "malware builder".  Il programmatore di Firecrypt usa una command line application che automatizza il processo di mettere insieme varie versioni del ransomware: ottiene così la possibilità di modificare le impostazioni di base del ransomware senza doversi indaffarare con IDE ingombranti che ne compilino il codice sorgente.

Il "builder" di FyreCrypt si chiama BleedGreen e permette di generare un unico ransomware