Appena due giorni dopo la diffusione di GandCrab v4.0, i ricercatori di Fortinet hanno individuato una nuova versione, la 4.1 appunto, distribuita usando lo stesso metodo in uso alla famiglia GandCrab: il ransomware infatti viene diffuso tramite siti web compromessi che offrono al download app craccate. La novità di questa versione è una nuova tattica di comunicazione di rete, una peculiarità inedita per questa famiglia di ransomware.
Comunicazione di rete
GandCrab 4.1 contiene, in parte del codice fisso, una lista insolitamente lunga di siti web compromessi ai quali connettersi. Per generare l'URL completo per ciascun host viene usato un algoritmo pseudo-casuale per scegliere tra set di parole predefinite. L'URL finale avrà un formato del tipo www.{host}.com/data/tmp/sokakeme.jpg.
 |
| Fonte: www.fortinet.com |
Una volta che il malware si è connesso con successo ad un URL, inizia ad inviare i dati della vittima in forma criptata (criptazione base-64). Tra le info inviate sono state trovate:
- Indirizzo IP
- User name
- Computer Name
- Dominio di rete
- Lista di antivirus installati (se ne esiste una)
- Impostazioni tastiera per lingua russa (0=si/1=no)
- Architettura del processore
- Sistema operativo
- ID della vittima
- Drive locali e di rete
- Info interne di Gandcrab (la versione da scaricare sulla macchina infetta, le azioni da eseguire, l'ID ecc...)
Ci sono sospetti riguardo al fatto che questa funzione sia, per ora, sperimentale dato che non ha molto senso dal punto di vista pratico inviare tutti quei dati a tutti gli host attivi in lista anziché verso uno solo: un solo invio con successo infatti basterebbe allo scopo. Inoltre non sono state riscontrate ancora prove definitive riguardo al fatto che i siti web contenuti nel codice del ransomware siano effettivamente stati compromessi per fungere da server e scaricate il malware.
Processi terminati per garantire la criptazione
GandCrab esegue, prima di avviare la criptazione, una analisi dei processi in corso nella macchina: termina quindi tutti quei processi che potrebbero impedire una criptazione completa dei file bersaglio.
Eccone alcuni:
- winword.exe
- wordpad.exe
- thunderbird.exe
- steam.exe
- outlook.exe
- msaccess.exe
- mspub.exe
- excel.exe
- mysqld.exe
- tbirdconfig.exe
- mydesktopservice.exe
- firefoxconfig.exe
- sqlwriter.exe
- oracle.exe
- msftesql.exe
- sqlagent.exe
- sqlbrowser.exe
Terminare questi processi garantisce una routine di criptazione completa dei file senza alcuna interruzione.
L'SMB Exploit Spreader
Moltissimi dei report circolanti nei giorni scorsi indicavano la capacità di questa versione di GandCrab di auto propagarsi attraverso un exploit SMB: il pensiero non può che tornare, inevitabilmente, all'ondata di attacchi ransomware che sono passati alla storia del cyber crime con i nomi di WannaCry e NotPetya (per maggior info leggi qui). Insomma, data l'efficacia estrema mostrata da questi due ransomware nell'auto propagazione non stupisce che anche altri malware tentino di percorrere la stessa strada. I ricercatori di Fortinet quindi hanno deciso di approfondire la faccenda, cercando di individuare nel codice di GandCrab v.4.1 quelle parti relative ad eventuali exploit SMB. Ricerca inutile: non è stata ritrovata neppure una stringa attinente a tali funzioni. Non ci sono quindi riscontri, per adesso, rispetto alla capacità di GandCrab di auto replicarsi e diffondersi nelle reti sfruttando vulnerabilità del protocollo SMB.
Tutto questo non toglie gravità alla situazione: GandCrab rimane il ransomware attualmente più diffuso oggi, in particolare la versione 4.1.x.
Nessun commento:
Posta un commento