Trojan “Ransomware” Ruba e Critta

Posted on luglio 18, 2007. Filed under: News |

Durante il fine settimana i ricercatori di sicurezza di Prevx hanno isolato ed analizzato un nuovo codice Trojan, variante di un malware “password stealer” già noto da tempo, che include funzioni di “ransomware”.Il codice nocivo infatti si occupa di crittare i file presenti nell’hard disk del computer infettato (documenti, immagini, file di dati, e altro) per poi chiedere il pagamento di $300 come riscatto per restituire i documenti decodificati alla vittima. Il Trojan ha attirato immediatamente l’attenzione degli esperti di sicurezza perché, nel messaggio mostrato sui computer infetti, afferma di utilizzare il potente algoritmo di crittazione RSA-4096. Fortunatamente dall’analisi condotta da Prevx è emerso che il malware non utilizza realmente questo algoritmo. La notizia della scoperta del Trojan è stata riportata da importanti news media tra cui Reuters. Maggiori dettagli sull’analisi del malware sono stati pubblicati sul blog ufficiale di Prevx e da Marco Giuliani, malware analyst dell’azienda, su PC al Sicuro.

Da PC al Sicuro: “Il trojan non è proprio una novità, ma si tratta di una nuova variante di un vecchio password stealer che avevamo già individuato nei mesi scorsi. Quest’ultima variante ha inoltre funzioni di ransomware. Dopo un week-end abbastanza movimentato, siamo riusciti a decodificare i file criptati e a rilasciare per primi un tool di decodifica. Una volta eseguito – utilizza un custom packer – il trojan tenta di iniettarsi all’interno di winlogon.exe. Se l’attacco ha successo, da winlogon.exe il trojan tenta di iniettarsi in svchost.exe e poi negli altri processi. Per partire allo startup del sistema, si aggiunge nella directory di sistema di Windows come ntos.exe” e modifica i registri per l’autorun. “Questo permette al malware di partire in posizione privilegiata all’avvio del sistema, prima rispetto a molti altri processi. Crea inoltre una directory nascosta sotto system32, chiamata wsnpoem che contiene video.dll e audio.dll. Il trojan ha tre payload: criptare i file sull’hard disk e poi minacciare, rubare credenziali dell’utente del pc, aprire un socks server”.

L’algoritmo di crittazione utilizzato dal malware ricorda l’algoritmo RC4 ma è “fortemente modificato”, aggiunge Giuliani. Il trojan crea un file read_me.txt in ogni directory in cui ha criptato dei file, che include il messaggio di richiesta riscatto. Tuttavia, come mostra l’analisi fatta da Prevx ed il tool standalone reso disponibile dall’azienda per pulire i sistemi infetti, i malware writer non hanno implementato un routine di crittazione a prova di bomba. Giuliani commenta: “Non è necessario pagare 300$ per decodificare i file, semplicemente scaricate il nostro tool. Nessun file viene uploadato online, il trojan si preoccupa solo di rubare informazioni quali username e password mentre l’utente è online. Il codice personale mostrato nel readme gioca un ruolo fondamentale nella routine di decrypt. Il codice è salvato anche all’interno del registro”.

Per rubare informazioni sensibili il malware sfrutta tecniche simili a quelle utilizzate dai rootkit user mode, modificando l’Import Address Table e redirezionando alcune chiamate API. “Una volta collezionate le credenziali, il trojan le salva all’interno di un file e le cripta prima di uploadarle ad un server remoto. L’algoritmo usato è particolarmente semplice e fa uso di alcune semplici operazioni matematiche su ogni byte del file da criptare. Abbiamo un tool di decodifica anche per questi file ma non verrà rilasciato, al fine di evitare possibili fughe di privacy. Al momento migliaia di informazioni personali sono state collezionate dal trojan”, afferma Giuliani. Nei logfile del server remoto utilizzato dai cyber criminali si trovano i riferimenti a numerose importanti aziende tra cui Hewlett Packard, BAUSCH & LOMB e Hughes Network Systems ma anche l’ U.S. Dept. of Transportation, tutte quindi potenziali vittime dell’infezione. Questo aspetto rende l’idea del rischio associato alla minaccia, anche considerato che l’inclusione di capacità di rilevamento da parte delle principali aziende antivirus è stata tutt’altro che immediata.

Giuliani conclude: “Codificare documenti è un danno immenso per le società che devono lavorare con i propri dati. Pagare 300$ sarebbe molto più semplice che aspettare un decodificatore … in fondo per una società 300$ non sono un così alto prezzo. Ma, pagando, i malware writer sono solo incoraggiati a continuare a ricattare le società e a fare il loro sporco gioco. È per questo che risulta importante che nessuno si pieghi ai ricatti online ma contatti immediatamente una società di sicurezza che l’aiuterà a sistemare il problema. Penso assisteremo ad un rapido incremento di minacce complesse come questa, attacchi mirati a società che, semplicemente, non possono permettersi di fermare il proprio lavoro per un ricatto”.
Fonte.

Gli attacchi sferrati nei confronti delle aziende, secondo quanto osservato da Kaspersky, sono progressivamente messi da parte in favore di metodologie che hanno come obiettivo quello di mettere sotto scacco file e documenti importanti memorizzati sul sistemi infettati.

Eugene Kaspersky, ricercatore capo della russa Kaspersky Labs, ha dichiarato che i trojan “ransomware” rappresenteranno il trend per il 2007. Sono stati battezzati “ransomware” i componenti nocivi che, una volta insediatisi sul sistema, tentano di estorcere del denaro all’utente crittografando, ad esempio, i suoi file personali.

La minaccia non è nuova, il primo esempio – GPCode alias “PGPCoder” – risale al maggio del 2005, ma secondo Kaspersky malware di questo tipo potrebbero prender piede nel corso dell’anno. GPCode utilizzava una chiave crittografica a 660 bit che avrebbe potuto essere violata, utilizzando un singolo computer, nell’arco di trent’anni. Kaspersky riuscì a venire a capo dell’algoritmo utilizzato per “sequestrare” i dati dell’utente in soli 10 minuti solo perché, come sottolineato dalla stessa azienda, l’autore del malware aveva peccato in superficialità. Diversamente, sarebbe stato pressoché impossibile recuperare i file cifrati dal trojan.

Sempre in occasione della “RSA Conference” di San Francisco, Kaspersky ha rilevato come gli attacchi DDoS (Distributed Denial of Service) sembrino volgere progressivamente verso il declino. Merito, probabilmente, delle tecnologie di filtering che consentono di bloccare questi tipi di attacchi prima che raggiungano i server aziendali e degli arresti di diverse persone accusate di estorcere denaro alle aziende utilizzando come minaccia quella degli attacchi DDoS.

Make a Comment

Lascia un commento

Effettua il login con uno di questi metodi per inviare il tuo commento:

Logo WordPress.com

Stai commentando usando il tuo account WordPress.com. Chiudi sessione / Modifica )

Foto Twitter

Stai commentando usando il tuo account Twitter. Chiudi sessione / Modifica )

Foto di Facebook

Stai commentando usando il tuo account Facebook. Chiudi sessione / Modifica )

Google+ photo

Stai commentando usando il tuo account Google+. Chiudi sessione / Modifica )

Connessione a %s...

Liked it here?
Why not try sites on the blogroll...

%d blogger cliccano Mi Piace per questo: