Gli autori dei ransomware Petya e Mischa sono ricomparsi sulla scena con un nuovo ransomware, GoldenEye: la filiazione è solo sospetta, ma verosimile, a giudicare delle forti somiglianze tra GoldenEye e Petya-Mischa. GoldenEye pare essere la nuova versione dei due vecchi ransomware, "sconfitti" dopo poche settimane da un decriptatore rilasciato gratuitamente sul web che ne ha violato l'algoritmo di criptazione.
Come viene distribuito?
Attualmente viene distribuito tramite campagne di spam: una prima ondata ha colpito utenti tedeschi. La mail contiene in oggetto la parola "Bewerbung" (Applicazione) e contiene due allegati, un pdf (pulito, che non contiene nessun malware) e un xls contenente una macro infetta. I file xls per ora rilevati sono 6, simili nel contenuto, diversi nei nomi
Wiebold-Bewerbung.xls
Meinel-Bewerbung.xls
Seidel-Bewerbung.xls
Wüst-Bewerbung.xls
Born-Bewerbung.xls
Schlosser-Bewerbung.xls
La macro (visibile sotto) contiene il ransomware.
Come avviene la criptazione?
Quando un utente abilita la macro, questa si lancerà e salverà stringhe base64 incorporandole entro un file eseguibile che verrà salvato nella cartella dei file temporanei. Finita la creazione del file, lo script VBA lancerà automaticamente il ransomware e inizierà il processo di criptazione.
Presenta una differenza rispetto a Mischa/petya. Petya criptava due parti specifiche dell’ Hard Disk, l’MBR e l’MFT, ovvero quelle parti necessarie all’avvio del sistema e che lo indirizzano nella gestione dei file. Per fare ciò era necessario ottenere i privilegi di amministratore di sistema e, poichè Petya non sempre ci riusciva, vi fu affiancato Mischa: quando Petya non riusciva ad ottenere i privilegi amministrativi, si avviava Mischa dando origine a una criptazione solo dei file e non di specifiche partizioni dell'Hard Disk. Anche col nuovo ransomware, è Mischa ad avviare una criptazione standard, rendendo inaccessibili i file e modificandone l'estensione con una estensione di 8 caratteri random. A questo punto sostituisce il Master Boot Record con un boot loader personalizzato dai cyber-criminali.Infine viene mostrata la nota di riscatto. E' adesso che entra in gioco GoldenEye: il ransomware riavvia forzatamente il computer ed è ora che inizia la criptazione dell'MFT. Lo scopo è rendere impossibile accedere a qualsiasi file presente sull' Hard Disk.
La richiesta di riscatto: Alla fine del processo di criptazione verrà visualizzata la richiesta di riscatto, denominata "YOUR_FILE_ARE_ENCRYPTED.TXT".
La schermata dopo il riavvio:
Dopo il riavvio il ransomware mostrerà, esattamente come faceva Petya, una falsa schermata che indicherebbe che il computer stia eseguendo processi di riparazione dei file di sistema sul dico C:. E' ovviamente falso: è semplicemente in corso la criptazione dell'MFT.
La schermata visualizzata a fine processo di criptazione: Quando il processo di criptazione sarà terminato verrà mostrata una nuova schermata
Il riscatto...
Il riscatto ammonta a circa 1.000 dollari (1.33 bitcoin) e va pagato tramite Dark Web. Come già scritto qui, questo ransomware è un caso di RaaS (ransomware as a service), ovvero non solo un ransomware, ma un ransomware venduto come un prodotto, con piani di marketing e assistenza ai compratori e alle vittime. Sotto, ad esempio, potete vedere l'area di supporto per gli utenti.
Nessun commento:
Posta un commento