martedì 7 febbraio 2017

Ransomware Sage 2.0: prime infezioni in Italia


Nel Dicembre 2016 circolarono le prime informazioni riguardo un nuovo ransomware, Sage: al tempo fu inquadrato come una versione di CryLocker. Non si sa tutt'ora molto di questo ransomware, sopratutto di come veniva distribuito e fu anche poco studiato percéè ebbe effettivamente un ridottissimo numero di vittime. Alcuni ricercatori ne studiarono comunque una versione che veniva distribuita tramite l'Exploit Kit Rig (per i legami tra exploit kit e ransomware, consigliamo la lettura di questo approfondimento).

A fine Gennaio alcuni ricercatori individuano e denunciano la diffusione, tramite campagne di email di spam, di un ransomware chiamato Sage 2.0: la cosa che colpisce immediatamente è che i distributori di questo ransomware sembrano essere gli stessi che stanno distribuendo Cerber, Locky e ora Spora, quelli che possiamo definire, per ora, i ransomware di punta del cyber-crimine.

Cosa significa questo? Che ci sono buone possibilità che si provi a incrementare la distribuzione di Sage 2.0 in futuro e possiamo anche darne conferma: ci sono arrivate le prime richieste di aiuto di utenti italiani colpiti da questo ransomware.

Come si diffonde?
Sage 2.0 non usa exploit kit (per ora), ma si diffonde tramite le classiche campagne di spam.
La mail vettore pare non avere oggetto, ma contiene un allegato ZIP dal nome EMAIL_[numeri random]_recipient.zip oppure, semplicemente, [numeri random].zip. Sotto un esempio di queste email



Questo ZIP contiene un altro ZIP che a sua volta contiene o un documento Word o un file JS.


Lo script dannoso avvia automaticamente il ransomware.

Come Sage 2.0 cripta i file?
Quando Sage viene scaricato e eseguito, rimarrà dormiente per un breve periodo di tempo, quindi eseguirà una copia di sé stesso nella cartella C:\Users\[loginname]\AppData\Roaming, rinominandosi con un nome di 8 caratteri random. A questo il file viene eseguito: la vittima visualizzerà questo prompt. 




Quando il file viene lanciato, si avvia il processo di ricerca nei drive per individuare i file bersaglio da criptare (cripta oltre 100 tipi differenti di file). Il file verrà criptato aggiungendo dopo l'estensione corretta, l'estensione .sage. Sotto si possono vedere alcuni esempi



In ogni cartella in cui ci sono file criptati viene creata la richiesta di riscatto, il cui nome sarà suppergiù secondo questo schema !Recovery_[3 caratteri random].html.
Una cosa inusuale: questo ransomware si organizza per persistere sul computer della vittima, facendo si che, ad ogni login in Windows, l'infezione ricominci da capo. Sage 2.0 cancella anche le Windows Shadow Volume Copies, così da impedire il recupero tramite questa via dei file criptati: esegue cioè il seguente comando vssadmin delete shadows /all /quiet

Infine, utilizzando Google Maps API e l'SSID delle connessioni wireless nelle vicinanze, individuta la posizione geografica della vittima.

La richiesta di riscatto
Alla fine di tutto questo processo viene mostrata la richiesta di riscatto, che viene anche sostituita allo sfondo del Desktop. La richiesta contiene l'ID univoco della vittima e il link al sito dove effettuare il pagamento. La richiesta più diffusa è di 2.14 bitcoin (circa 2000 dollari Usa). L'importo raddoppia se, dopo 7 giorni dall'infezione il riscatto non è ancora stato pagato.



Attualmente non esiste soluzione: fate attenzione a non scaricare allegati di qualsiasi tipo da email sospette.

Nessun commento:

Posta un commento