martedì 23 maggio 2017

EternalRocks: nuovo worm che usa ben 7 tool dell'NSA per attaccare le macchine via porta SMB


I ricercatori hanno individuato un nuovo worm, che si diffonde tramite l'SMB (lo stesso protocollo, la cui vulnerabilità è stata usata per la diffusione di WannaCry). Al contrario però della componente worm di WannaCry, questo worm usa ben 7 (e non solo due) tool dell'NSA. L'esistenza del worm è stata rivelata dal CERT del Governo Croato dopo che il loro honeypot SMB è stato infettato. Il worm in questione si chiama EternaRocks.

EternalRocks usa 7 tool dell'NSA
Il worm usa ben 6 tool dell'NSA, progettati appositamente per infettare computer con la porta SMB esposta online. Questi sono: EternalBlue, EternalChampion, EternalRomance e EternalSynergy, che sono exploit SMB usati per compromettere i computer vulnerabili. SMBtouch e Archtouch sono due tool, sempre dell'NSA, usati per le operazioni di individuazione dell'SMB. Tutti questi tool fungono da strumenti che cercano un appiglio alla macchina: fatto ciò, il worm usa un altro tool NSA, DoublePulsar, utile a propagarsi in altre, nuove, macchine vulnerabili. 

venerdì 19 maggio 2017

Wallet: disponibile tool di decriptazione


Nel Giugno 2016 vengono rilasciati la master key e il decryptor del ransomware Crysis. Pochissimi giorni dopo irrompe sulla scena una nuova famiglia di ransomware, Dharma appunto, molto simile al ransomware Crysis.

Inizialmente questo ransomware usava una sola estensione, [indirizzo email].dharma.
Poco tempo dopo ne sono uscite altre varianti, le più diffuse delle quali criptano aggiungendo al nome del file le estensioni [indirizzo email].wallet o [indirizzo email].zzzzz. 

Eravamo già in grado di risolvere la criptazione in .dharma: da oggi possiamo risolvere anche quella in .wallet. Chi ci ha già inviato i file per la verifica, verrà ricontattato dai nostri tecnici.
Chi ha subito questa infezione, ma non ci ha sottoposto il proprio caso, può inviarci due file criptati assieme alla richiesta di riscatto all'indirizzo alessandro@nwkcloud.com

Come cripta i file?

giovedì 18 maggio 2017

Uiwix: un altro ransomware che usa lo stesso exploit di WannaCry per diffondersi


Uiwix usa EternalBlue
per diffondersi, l'exploit che sfrutta una falla del protocollo SMBv1* per accedere ai sistemi. E' lo stesso exploit usato per la diffusione di WannaCry.  E' uno dei già tanti - e molto probabilmente sempre più- ransomware e malware che puntano sullo sfruttamento di questa falla: falla già risolta, ma ancora molto molto diffusa. 

Come si diffonde
Come già detto, Uiwix usa EternalBlue come WannaCry, ma non ha la capacità di auto-propagarsi come un worm, capacità invece presente fin dalla prima versione di WannaCry. Gli sviluppatori di Uiwix hanno puntato più alla classica scansione in cerca di computer vulnerabili sui quali usare script dannosi. Al contrario di WannaCry, inoltre, Uiwix non ha file: nel senso che non viene scritto sul disco, ma viene eseguito direttamente in memoria e comincia ad infettare il computer. Questo accorgimento rende estremamente difficile, per la gran parte dei programmi di sicurezza, individuare precisamente che il programma dannoso è in esecuzione e impedirgli quindi di criptare i file della vittima. 

Che cosa fa?

mercoledì 17 maggio 2017

Un malware, diffuso prima di WannaCry, ha protetto i pc dal ransomware (ma ha estratto bitcoin).


Nuove prove hanno rivelato che circa 3 settimane prima dell'attacco di massa col ransomware WannaCry, uno o più gruppi di cybercriminali hanno usato lo stesso tool exploit dell'NSA (ETERNALBLUE)  usato per diffondere WannaCry, allo scopo di infettare computer e server con un malware pensato per il mining dei Bitcoin. Questi malware rallentano i PC e i Server e creano non pochi problemi ad esempio nelle condivisioni di rete: in fondo all'articolo, come risolvere il problema. L'unico motivo per cui nessuno ha notato questo attacco è che questo particolare malware, chiamato Adylkuzz, non distrugge i dati degli utenti ed è stato programmato per chiudere la porta SMB.

martedì 16 maggio 2017

WannaCry case: resa innocua la prima versione. Già in circolazione una seconda e una intera nuova famiglia di imitatori



Sabato i ricercatori hanno individuato una seconda versione di WannaCry che ha un differente dominio come "kill switch"o dominio interruttore.  

Ricordiamo che WannaCry si compone di due parti:
1- il ransomware vero e proprio
2- un worm SMB che diffonde il ransomware a nuove vittime, prima nella rete locale poi in Internet.

La prima versione di WannaCry conteneva un dominio interruttore, il quale, una volta individuato, ha permesso ai ricercatori di bloccare la diffusione del ransomware. Infatti, se il ransomware riusciva a connettersi al dominio, la criptazione non avveniva. Se il tentativo di connessione falliva, il ransomware avviva la criptazione.