lunedì 4 marzo 2019

GarrantyDecrypt, il ransomware che si camuffa da servizio di sicurezza di Proton


E' stata individuata una nuova variante del ransomware GarrantyDecrypt, già diffusa in attacchi reali contro utenti home. Questa famiglia di ransomware è stata individuata nell'Ottobre 2018 dal ricercatore Micheal Gillespie: non ha mai conosciuto una diffusione su larga scala, come altri malware "di punta" della categoria, ma si lascia costantemente alle spalle una scia di vittime.

Stando agli invii su ID-Ransomware (un utile strumento dove è possibile caricare file dannosi, o sospettati di essere tali, per individuare il tipo di infezione, ma anche per permettere ai ricercatori di sicurezza di analizzare nuovi attacchi), GarrantyDecrypt dimostra un flusso costante di utenti che hanno inviato al servizio nota di riscatto e file criptati -vedi foto sotto.


Fonte: bleepingcomputer.com
GarrantyDecrypt in breve
questo ransomware utilizza l'algoritmo di criptazione RSA per criptare i file delle vittime. Richiede un riscatto in Bitcoin. L'estensione di criptazione che contraddistingue questo ransomware gli da anche il nome: .garrantydecrypt. Per quanto si concentri principalmente su utenti di lingua inglese, è un ransomware la cui diffusione è già mondiale.  Utilizza il comando delete shadows /all /quiet per cancellare le shadow volume copies, così da impedire alla vittima di poterle usare per recuperare i file originali. Cripta la gran parte delle tipologie di file presenti su Windows: dai documenti di Office, passando per video, audio, database ecc... Non è ancora chiaro come venga distribuito: tra i sospettati, l'uso di email di spam e l'hacking dei servizi di desktop remoto sembrano i più quotati. 

La campagna in corso
La campagna di diffusione di GarrantyDecrypt attualmente in corso è stata individuata intorno alla metà del mese di Febbraio. La versione del ransomware in diffusione non presenta grandi novità rispetto alle versioni precedenti, è però notevolmente cambiata la modalità di diffusione. Gli attaccanti che gestiscono GarrantDecrypt si spacciano per membri del team di sicurezza di Proton. Proton Technology è l'azienda dietro ProtonMail e ProtonVPN (un servizio di email criptate il primo, un servizio VPN il secondo). 

La nota di riscatto ad esempio, sembra la segnalazione di un problema di sicurezza: si chiama SECURITY-ISSUE-INFO.txt e "informa" la vittima di aver subito un attacco da un "outsider" e che il servizio Protect-Server di Proton ha criptato i dati per proteggerli durante l'attacco. In fondo al testo è perfino citata la dichiarazione sul copyright "PROTON SECURE-SERVER SYSTEM℗", un tentativo di far apparire legittima la nota.


Il riscatto ammonta a circa 780 dollari, ma è molto interessante vedere come viene richiesto: si avvisa la vittima dell'addebito di 780 dollari per il pagamento del servizio di criptazione Secure Server di Proton, un fantomatico servizio di protezione dei dati che si attiverebbe durante attacchi da parte di terzi. Insomma, la nota di riscatto spiega alla vittima che il servizio di Proton, attivatosi automaticamente per proteggere i file, va pagato perchè la vittima possa ritornare in possesso dei propri file.

Ribadiamo, ovviamente, che questa nota non proviene dal team di Proton e che Proton non è dotato di alcun servizio che cripta automaticamente i file: al contrario, se visualizzi quella nota di riscatto, sei semplicemente rimasto vittima di un ransomware.

Purtroppo, per adesso non c'è una soluzione per decriptare i file colpiti da questo ransomware, quindi invitiamo gli utenti che ne sono rimasti vittime a copiare i file criptati e la nota di riscatto e salvarli in una location sicura, in attesa che venga trovata una soluzione.

Indicatori di compromissione
Indirizzi email associati
secureserver-eu@protonmail.com

Nota di riscatto
SECURITY-ISSUE-INFO.txt

Nessun commento:

Posta un commento