martedì 5 luglio 2016

Ransomware alert! Dai creatori di Locky arriva il ransomware Bart

E di alcuni giorni fa la scoperta di un nuovo arrivato nella famiglia dei Ransomware, individuato dai ricercatori Proofpoint. La nuova minaccia prende il nome di Bart, e considerate le marcate somiglianze estetiche e non solo, i ricercatori sono indotti a pensare che sia opera degli stessi cyber criminali che già avevano dato vita al ransomware Locky e al trojan bancario Dridex.

La mail di phishing
I ricercatori hanno potuto individuare tra la notte del 24 e del 25 giugno un massiccio invio di mail di phishing. L’oggetto della mail spesso è “Photos”; l’allegato è in formato .zip, recante nomi del tipo “"photos.zip", "image.zip", "Photos.zip".
L’archivio .zip denominato 
PDF_[numeri casuali].js è in realtà un codice Javascript malevolo. 




Che cosa fa?

Se il codice Javascript viene aperto, si avvierà il download del downloader intermedio RockLoader (già usato per diffondere il ransomware Locky), che scaricherà appunto Bart.
Bart cripta i file, rendendoli illeggibili, e ne modifica l’estensione in .bart.zip.
Lascia inoltre, in ogni cartella contenente file criptati, il messaggio di riscatto “recover.txt” e modifica l’immagine di sfondo del desktop col file “recover.bmp” (vedi immagine sotto).
















Il riscatto si aggira attorno ai 3 bitcoin (ovvero 2000 dollari, una richiesta insolitamente alta rispetto alla media degli altri ransomware). 










Cripta i file con le seguenti estensioni:

.123, .3dm, .3ds, .3g2, .3gp, .602, .aes, .ARC, .asc, .asf, .asm, .asp, .avi, .bak, .bat, .bmp, .brd, .cgm, .cmd, .cpp, .crt, .csr, .CSV, .dbf, .dch, .dif, .dip, .djv, .djvu, .DOC, .docb, .docm, .docx, .DOT, .dotm, .dotx, .fla, .flv, .frm, .gif, .gpg, .hwp, .ibd, .jar, .java, .jpeg, .jpg, .key, .lay, .lay6, .ldf, .m3u, .m4u, .max, .mdb, .mdf, .mid, .mkv, .mov, .mp3, .mp4, .mpeg, .mpg, .ms11, .MYD, .MYI, .NEF, .odb, .odg, .odp, .ods, .odt, .otg, .otp, .ots, .ott, .p12, .PAQ, .pas, .pdf, .pem, .php, .png, .pot, .potm, .potx, .ppam, .pps, .ppsm, .ppsx, .PPT, .pptm, .pptx, .psd, .rar, .raw, .RTF, .sch, .sldm, .sldx, .slk, .stc, .std, .sti, .stw, .svg, .swf, .sxc, .sxd, .sxi, .sxm, .sxw, .tar, .tbk, .tgz, .tif, .tiff, .txt, .uop, .uot, .vbs, .vdi, .vmdk, .vmx, .vob, .wav, .wb2, .wk1, .wks, .wma, .wmv, .xlc, .xlm, .XLS, .xlsb, .xlsm, .xlsx, .xlt, .xltm, .xltx, .xlw, .zip


Prima di effettuare tutte queste operazioni Bart esegue un test sulla macchina per individuare la lingua impostata sul sistema: se individua sistemi impostati in russo, bielorusso o ucraino, non si esegue. Altrimenti seleziona immagine e messaggio di riscatto nella lingua riscontrata.

La campagna attualmente sta colpendo in maniera preponderante gli Stati Uniti, ma la presenza di traduzioni in inglese, francese, tedesco, spagnolo e italiano fa pensare che la diffusione sarà ben più ampia e capillare.


E' possibile difendersi?

Al momento i ricercatori stanno ancora studiando i dettagli tecnici di Bart e non disponiamo di una soluzione efficace per decriptare i file senza cedere alle richieste dei cyber-crminiali. 
Pare che Bart non necessiti di un meccanismo di comunicazione con un server C&C: al contrario le informazioni necessarie riguardo al macchina infetta passano al server di pagamento nel parametro “id” dell’URL. Grazie a questa caratteristica,  potenzialmente,  potrebbe essere in grado di infettare macchine  protette da firewall aziendali che altrimenti bloccherebbero questo tipo di traffico. Per quel ne sappiamo adesso, l’unico strumento di difesa sarebbe riuscire a bloccare Bart sul Gateway di posta, utilizzando gli stessi sistemi che bloccano gli eseguibili compressi.

Nessun commento:

Posta un commento