E' stata individuata una campagna di email dannose contenenti allegati Word infetti: l'apertura del Word infetto comporta l'infezione della macchina da parte del ransomware Hermes. La versione in diffusione è nuova, o almeno presenta una modalità di diffusione diversa rispetto a Hermes V.1.0, che si diffondeva via exploit kit sfruttando la vulnerabilità 0-day di Adobe Flash CVE-2018-4878.
Le email vettore
Come riportato da un ricercatore indipendente, le email provengono da indirizzi collegati al dominio anjanabro.com e contengono un allegato Word protetto da password. Il testo è impostato per "interessare" le aziende: l'emailo infatti sembra provenire da una persona in cerca di lavoro che allega il proprio Curriculum Vitae, il .doc appunto.
 |
| Fonte: https://isc.sans.edu/ |
Una volta scaricato l'allegato, viene richiesta una password per visualizzare il contenuto: la password, "321", è contenuta nel testo stesso dell'email. Inserita la password viene richiesta l'attivazione della macro.
 |
| Fonte: https://isc.sans.edu/ |
Come infetta il pc...
L'abilitazione della macro comporta l'esecuzione del codice malevolo interno al documento: avverrà la connessione ad un server remoto sotto controllo degli attaccanti dal quale verrà scaricato direttamente sul computer l'eseguibile del ransomware, chiamato "green.exe": molto probabilmente stiamo parlando della versione 2.1 del ransomware Hermes. Oltre a ciò non verrà generato altro traffico post infezione.
 |
| Fonte: https://isc.sans.edu/ |
Come cripta i file
Hermes 2.1 non è particolarmente sofisticato: utilizza algoritmi di criptazione AES per criptare i file e algoritmi RSA per proteggere la chiave di criptazione. I file criptati però non vengono rinominati ne subiscono modifiche all'estensione originaria.
 |
| Fonte: https://isc.sans.edu/ |
Finita la fase di criptazione, in ogni cartella con file criptati viene copiata la nota di riscatto, in formato HTML, rinominata in “DECRYPT_INFORMATION.html”.
 |
| Fonte: https://isc.sans.edu/ |
Indicatori di compromissione
Email di contatto:
Primaria: decryptsupport@protonmail.com
Secondaria: decryptsupport1@cock.li
Traffico di rete:
hxxp://205.185.121.209/green.exe
hxxp://205.185.121.209/green.exe
File correlati:
green.exe
DECRYPT_INFORMATION.html
Nessun commento:
Posta un commento