lunedì 17 ottobre 2016

Ransomware alert! In diffusione una nuova versione di DXXD che attacca i server Windows



Il ransomware DXXD  ha colpito vari server e criptato i dati su questi ospitati almeno dalla fine di settembre. Se ne è parlato molto poco per il semplice fatto che, pochissimi giorni dopo il rilascio del ransomware e in conseguenza alle prime infezioni, alcuni ricercatori di sicurezza erano riusciti ad approntare un tool di decriptazione
Da qualche giorno è in circolazione una nuova versione del ransomware che, con alcune modifiche all’ algoritmo di criptazione, rende inefficace il tool di decriptazione.

La buona notizia è che gli stessi ricercatori sono riusciti a creare un nuovo decryptor per questa nuova variante: viene però distribuito privatamente ai soggetti che sono stati vittime del ransomware, così da impedire al programmatore del ransomware stesso di identificare la falla nel metodo di criptazione da lui pensato e prevenire quindi la possibilità che l’algoritmo venga nuovamente modificato (sotto ulteriori info)

Come funziona questo ransomware?

DXXD cripta i file e ne modifica l’estensione aggiungendo alla fine “dxxd”.

Una volta criptati i file, crea una nota di riscatto chiamata ReadMe.txt. Questa nota di riscatto contiene le istruzioni, utili alle vittime, per contattare gli sviluppatori del ransomware tramite le email rep_stosd@protonmail.com o rep_stosd@tuta.io per ricevere le istruzioni per il pagamento.  
Bisogna sottolineare che questo ransomware è in grado di criptare i file nelle condivisioni di rete, anche se questi non sono mappati sul computer infetto.

Notifica di infezione
La particolarità di questo ransomware è anche il fatto che esegue una modifica al Registro di Windows al fine di mostrare alla vittime una notifica ogni volta che si esegue l’accesso al computer. Questa cosa permette al cyber-criminale di essere certo che la nota di riscatto viene visualizzata ogni volta che si tenta di accedere al server criptato. 



Queste sono le modifiche eseguite ai valori del Registro. HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\LegalNoticeCaption HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\LegalNoticeText 

Come si diffonde?

Non è chiaro come venga distribuito questo ransomware. Però c’è un indizio: il programmatore di DXXD ha pubblicamente provocato i ricercatori che collaborano con il sito Bleeping Computer avvisando con un post pubblico della distribuzione di una nuova versione del ransomware e sfidando i ricercatori a trovare falle nell’algoritmo di criptazione. Uno dei ricercatori ha quindi risposto al post chiedendo informazioni riguardo alle modalità con cui riesce ad hackerare i server: DXXD_ ha quindi risposto che sta sfruttando una vulnerabilità zero-day presente in tutti i server Windows, nelle versioni dal 95 fino al 2016, esclusi quelli con l’ultimo aggiornamento.


Come posso ricevere il tool?
Il tool è stato approntato da alcuni ricercatori di sicurezza che collaborano col portale di informazione sulla sicurezza informatica www.bleepingcomputer.com. Basta quindi registrarsi al sito e rispondere a questa discussione  per ricevere supporto.

Un consiglio dai ricercatori di Bleeping Computer.
Alcuni dei ricercatori di Bleeping sono piuttosto certi del fatto che DXXD_ stia hackerando i server utilizzando il Remote Desktop Service e tentando l’individuazione della password tramite il metodo brute force. L’invito, per coloro che hanno subito un attacco da parte di questo ransomware, è di modificare le password di tutti gli account.

Nessun commento:

Posta un commento