Una nuova variante del ransomware Fantom è stata scoperta la scorsa settimana dal MalwareHunterteam ed ha alcune caratteristiche interessanti, come l’elencazione e criptazione delle condivisioni di rete, la capacità di generare in maniera casuale sfondi per il desktop e la criptazione offline.
Ma forse, la caratteristica più interessante è l’abilità del ransomware di stimare l’entità del riscatto e di impostare la email di pagamento in base al filename.
Utilizzo del filename per determinare il riscatto.
Di solito, l’ammontare del riscatto è fornito da un server Command&Control oppure è codificato direttamente nell'eseguibile del ransomware. Con questa nuova variante di Fantom, l’entità del riscatto viene determinato dal nome del processo. Questo consente agli sviluppatori di creare varie campagne di distribuzione usando lo stesso ransomware, ma potendo richiedere riscatti differenziati in base a come è rinominato il file in distribuzione. Per esempio, se lo sviluppatore vuole colpire gli home user, può impostare una richiesta di riscatto più bassa rispetto al caso in cui decidesse di colpire un tipo particolare di impresa o organizzazione semplicemente modificando il filename.
Come cripta i file.
Quando viene eseguito, il ransomware esamina il nome del processo, che è lo stesso del filename, e verifica se vi sono specifiche sottostringhe. In base a queste ultime, verrà inviato un particolare ammontare come riscatto. Questo processo è mostrato nella seguente immagine:
Come si può notare, se il nome del processo contiene la stringa v01, il riscatto verrà settato su 1, se contiene v06, verrà settato su 6. Il codice sorgente ha un range che va da v01 a v09 e da v1 a v20: in questo range a ogni valore corrisponde una definita entità del riscatto. Non è comunque chiara quale sia la differenza tra v06 e v6.
Il campione che è stato analizzato si chiama backupv2.exe in modo che il valore del riscatto sia 2 per quella specifica campagna di distribuzione.
Generare l’indirizzo email di pagamento dal filename.
Questa nuova variante include l’abilità di derivare una email di pagamento dal nome del processo usando una regular expression. Di default, ogni Fantom eseguibile contiene una email di pagamento (restorefiles@protonmail.ch). Quando viene eseguito, Fantom analizzerà il nome del processo attraverso la regular expression per vedere se è in grado di estrarre una email diversa basata sul nome.
Se la regular expression corrisponde al nome del processo, alcune caratteristiche potranno essere estratte e trasformate in un diverso indirizzo di pagamento che andrà a sostituire quello di default.
Mettere tutto insieme.
Abbiamo già detto che questa versione non comunica più con un server C&C, ma comunica creando una stringa unica chiamata “personal ID” che è inserita nella nota di riscatto e che deve essere inviata alla email degli sviluppatori del ransomware per ottenere le istruzioni di pagamento. Per generare questo ID, il ransomware crea una stringa che è composta dall'ammontare del riscatto, dalla chiave unica di criptazione AES per la vittima e la data dell’infezione. Questa stringa viene poi criptata utilizzando la chiavi di criptazione pubblica relativa a quella precedente e la salva denominandola encryptedPassword.
La variabile EncryptedPassword è così inserita nella nota di riscatto affinché la vittima possa spedirla allo sviluppatore del ransomware per ottenere le istruzioni di pagamento.
Il creatore del ransomware potrà decriptare questa stringa con la master key per verificare l’ammontare del riscatto, la chiave di decriptazione della vittima e quando è stata infettata la prima volta.
Queste nuove caratteristiche consentono allo sviluppatore del ransomware di effettuare una criptazione offline, pur mantenendo un metodo di crittografia sicura. L’utilizzo dei filename per determinare il valore del riscatto e l’indirizzo di pagamento riduce anche la complessità della campagna di distribuzione.
Altre importanti caratteristiche.
Altre importanti caratteristiche trovate in questa nuova versione di Fantom sono:
- L’elencazione e criptazione delle condivisioni di rete. Questa caratteristica non è nuova nel mondo dei ransomware, ma resta stranamente assente in molte altre infezioni.
- L’utilizzo di un generatore casuale di sfondi per il desktop Windows che usa testi e pixel casuali.
Nessun commento:
Posta un commento