lunedì 27 febbraio 2017

Dot-Ransomware e Unlock26: il mercato dei ransomware (RaaS) si evolve ancora


E' stato individuato un nuovo portale RaaS (ransomware as a service), denominato Dot-Ransomware, che pare essere dietro la distribuzione del nuovo ransomware Unlock26, individuato in the wild settimana scorsa. L'operato di questo ransomware è quasi unico, così come l'estetica del tutto minimal e diretta, con brevissime spiegazioni di cosa fare e non fare, una serie di richieste di riscatto preimpostate e un semplicissimo portale di pagamento. 

L'operazione di messa in vendita di Unlock26 è iniziata il 19 Febbraio, con la messa online del portale.


Il builder per la "personalizzazione" del ransomware
Chiunque si registra al servizio potrà scaricare due file: uno si chiama "core.exe" che altro non è che il payload "benigno" del ransomware, mentre il secondo "build.zip" è un archivio che contiene il builder del ransomware con le istruzioni d'uso.

Il builder è un tool CLI (interfaccia a linea di comando) molto minimal che consente agli utenti di personalizzare il ransomware, secondo le seguenti opzioni:
- Prezzo di decriptazione
- Prezzi speciale di decriptazione per nazione
- Estensioni bersaglio della criptazione
- Tipo di criptazione (tutto il file o solo i primi 4MB di ogni file)- Indirizzo Bitcoin per ricevere il riscatto e dal quale pagare la percentuale agli sviluppatori del ransomware


Secondo le istruzioni, bisogna caricare il file core.exe nel builder, il quale opererà una patch sul file core.exe con le personalizzazioni dell'utente producendo così un codice binario del tutto equipaggiato per l'infezione dei computer e pronto alla distribuzione.

Come si diffonde?
Disgraziatamente, in tutte le maniere. L'utente del portale Dot-Ransomware, tra le altre opzioni, deve stabilire la modalità di diffusione del ransomware, il cui supporto è parte integrante del servizio offerto dal portale stesso. Tra le opzioni ci sono
- la classica campagna di spam
- il malvertising
- infezione "manuale" dopo operazione di brute-force sulle connessioni RDP

Il ransomware...
Il ransomware si comporterà secondo le impostazioni dell' "acquirente". Il tipo di file che cripta, l'ammontare del riscatto e la richiesta di riscatto potrebbero differire in diverse infezioni, perchè in circolazione abbiamo lo stesso ransomware ma personalizzato in maniera differente in base all'utente "fonte" dell'attacco. L'unica cosa certamente comune a tutte le versioni è che cripta i file rendendoli illeggibili e cripta con l'estensione .locked-[xxx] dove [xxx] sono tre caratteri random unici per ogni vittima.


La nota di riscatto
Viene infine mostrata la nota di riscatto, che è veramente molto semplice e invita molto direttamente ad accedere ad alcuni indirizzi Tor. Questi link nascondono perfino una firma del singolo utente che permette ai truffatori di distinguere gli host infetti. Questo significa che si deve fare clic sui link nella nota di riscatto stessa: fare il copia e incolla o digitare manualmente l'indirizzo sul browser non permetterà l'accesso al sito di pagamento, perchè il portale esegue sempre la verifica della presenza della firma e della firma stessa. Probabilmente il vaglio della firma serve a mostrare un indirizzo Bitcoin unico per ogni utente che accede al sito di pagamento.

Dot-Ransomware e Unlock26 sono ancora in via di sviluppo...
L'assenza di istruzioni per gli utenti non è l'unica cosa che manca nel portale e nel rasnomware. Ad esempio è difficile capire a quanto ammonti il riscatto da pagare: la nota di riscatto non lo dice, il sito di pagamento mostra solo una funzione matematica 6.e-002 BTC. Questo è molto molto strano. Il builder inoltre in alcune sezioni non riesce a compiere le operazioni richieste e va in crash. 

Nessun commento:

Posta un commento