giovedì 5 gennaio 2017

Firecrypt, il ransomware dotato di un componente DDoS


E' stata rilevata una nuova famiglia di ransomware, chiamata FireCrypt: è ad oggi poco diffusa, ma è interessante trattarla perchè ha una caratteristica particolare: oltre a criptare i file della vittima tenta di lanciare un attacco DDoS (molto debole) verso un URL contenuto nel suo source code.

Fyrecrypt ha un vero e proprio kit di "costruzione di ransomware"
I malware di solito sono generati compilandone il codice sorgente, oppure ancora usando un software che in automatico prende alcuni parametri input e output e organizza un malware personalizzato, per una specifica campagna. Questi software sono conosciuti come "costruttori di malware", o "malware builder".  Il programmatore di Firecrypt usa una command line application che automatizza il processo di mettere insieme varie versioni del ransomware: ottiene così la possibilità di modificare le impostazioni di base del ransomware senza doversi indaffarare con IDE ingombranti che ne compilino il codice sorgente.

Il "builder" di FyreCrypt si chiama BleedGreen e permette di generare un unico ransomware
eseguibile, dargli un nome e un'icona personalizzata (così sarà più facile spacciare un .exe per un .pdf o un .doc), l'indirizzo Bitcoin al quale ricevere i pagamenti, l'ammontare del riscatto, la mail di contatto e molto altro.  Permette inoltre di modificare leggermente il codice binario del ransowmare, così da poter generare un file con un hash differente ad ogni nuova compilazione. E' una tecnica usata molto spesso anche per generare malware polimorifici, che sono più difficili da individuare per gli antivirus standard, ma non è questo il caso, essendo BleedGreen ancora molto basilare. Viene comunque inviato, sotto pagamento, ad altri cyber-criminali: un vero e proprio produttore di ransomware in affitto.



.
Come FireCrypt cripta i file?
FireCrypt si spaccia per un file .doc o .pdf, nascondendo così la propria estensione .exe.
Appena l'utente prova ad aprire il file, si avvia l'infezione: il ransomware terminerà il Task Manager (taskmgr.exe) e comincerà a criptare tutti i file appartenenti ad una lista di 20 tipi di file bersaglio che sono:  .txt, .jpg, .png, .doc, .docx, .csv, .sql, .mdb, .sln, .php, .asp, .aspx, .html, .htm, .csx, .psd, .aep, .mp3, .pdf, .torrent. L'algoritmo di cifratura usato è AES-256. Modifica inoltre l'estensione dei file in .firecrypt.

La richiesta di riscatto:
Terminata la criptazione, FireCrypt copia la richiesta di riscatto sul desktop dell'utente.
Attualmente la richiesta di riscatto ammonta a 500 dollari. 

La funzione DDoS...
Come detto FireCrypt contiene una funzione che si connette continuamente ad un URL specifico, scaricandone i contenuti e salvandoli nella cartella %Temp%, in un file chiamato  [random_chars]-[connect_number].html.
Se l'utente non si accorge di questa cosa, si troverà in poco tempo la cartella %Temp% piena di file spazzatura. La versione corrente scarica i contenuti dal sito http://www.pta.gov.pk/index.php, il portale dell'agenzia governativa Pakistana di telecomunicazione. L'URL non può essere modificato tramite il builder.

Da questo punto di vista, per quanto sia interessante questa caratteristica, le possibilità di un efficace attacco contro il sito bersaglio sono minime: il ransomware dovrebbe infettare centinaia (se non migliaia) di utenti per lanciare un attacco DDoS su vasta scala di sufficiente portata.

File associati al ransomware
%AppData%\Microsoft\Windows\Start Menu\Programs\Startup\[random_chars].exe -Eseguibile
%Desktop%\[random_chars]-READ_ME.html - Nota di riscatto
%AppData%\SysWin32\files.txt - Lista dei file criptati
%Desktop%\random_chars]-filesencrypted.html - Lista dei file criptati
%Temp%\random_chars]-[connect_number].html - File scaricati durante l'attacco DDoS

Nessun commento:

Posta un commento