martedì 12 marzo 2019

STOP ransomware: cripta i file e installa il trojan Azorult per il furto delle password


Individuata per la prima volta nei giorni di Natale del 2017, la famiglia di ransomware STOP conta ormai già quasi una ventina di diverse versioni, suddivisibili in due gruppi facilmente individuabili dall'estensione che aggiungono ai file dopo la criptazione.  

1. Gruppo STOP:
- sottogruppo STOP :
estensioni - STOP, .SUSPENDED, .WAITING, .PAUSA, .CONTACTUS, .DATASTOP, .STOPDATA 
- sottogruppo KEYPASS: estensioni - .KEYPASS, .WHY, .SAVEfiles 
- sottogruppo DATAWAIT:estensioni .DATAWAIT, .INFOWAIT 
- sottogruppo Puma :estensioni .puma, .pumax, .pumas, .shadow 

2. Sottogruppo Djvu
- sottogruppo Djvu-1: 
estensioni: .djvu, .djvuu, .udjvu, .djvuq, .uudjvu, .djvus, .djvur, .djvut, .djvup, .djvuu, .djuvq 
- sottogruppo Djvu-2:
estensioni .pdff, .tro, .tfude, .tfudeq, .tfudet, .rumba, .adobe, .adobee 
- sottogruppo Promo:
estensioni .blower, .promos, .promoz, .promock, .promorad, .promok, .promorad2 ... 

Le prime versioni utilizzavano l'algoritmo di criptazione AES, ma, le più recenti hanno sperimentato diverse modalità di criptazione. L'ammontare del riscatto varia da versione a versione, oscillando tra i 200 e i 600 dollari statunitensi in Bitcoin. Mira principalmente sistemi nei quali è impostata la lingua inglese, ma si sono riscontrate infezioni in più parti d'Europa.

Il meccanismo di criptazione
Ovviamente, le varie versioni differiscono tra di loro, quindi ci limitiamo a sottolineare le somiglianze: 
  • i vettori di diffusione sono molteplici e variano da campagna a campagna: quelli ricorrenti sono l'uso di allegati dannosi diffusi via email, attacchi a configurazioni RDP non protette e software dannosi;
  • subito dopo l'avvio, il file eseguibile di STOP si connette al server di comando e controllo per ricevere una chiave di criptazione e l'ID della vittima. I dati sono trasmetti tramite il semplice protocollo HTTP e in formato JSON;
  • se il server C&C non è disponibile (perchè la macchina infetta non è connessa ad Internet o il server incontra malfunzionamenti) viene comunque eseguita una criptazione offline, usando la chiave di criptazione e l'identificativo inseriti nel codice stesso del ransomware. I questo caso è possibile la decriptazione senza pagare il riscatto;
  • sostituisce il processo legittimo rdpclip.exe di Windows con una copia compromessa e lanciare così l'attacco alla rete di computer.  

L'ultima versione in diffusione ruba anche le password
individuata qualche giorno fa, l'ultima versione della famiglia STOP non si distingue tanto per il meccanismo di criptazione o di estorsione del riscatto, che non variano molto rispetto alle versioni precedenti. La particolarità è invece che STOP in questa campagna non viene da solo, ma accompagnato da una vecchia conoscenza: il trojan per il furto di password Azorult

Azorult è un trojan che attacca principalmente i computer e tenta il furto di username e password salvate nei browse, dei file sul desktop della vittima, dei wallet di criptovaluta, le credenziali di Steam, la cronologia del browser, la cronologia dei messaggi di Skype e molte altre informazioni sensibili. Tutte queste informazioni sono quindi caricate sul server remoto sotto controllo degli attaccanti. 

Un comportamento simile, va detto, era stato notato con la scoperta della prima variante DJVU, diffusa tramite software fake in Gennaio: analisi approfondite avevano dimostrato come il componente principale scaricava ulteriori componenti, tutte finalizzate allo svolgimento di differenti compiti sulla macchina infetta. Tra questi compiti, c'era anche l'uso di una falsa finestra di Windows Update per ingannare l'utente durante la routine di criptazione, l'arresto di Windows Defender,  il blocco dell'accesso a siti di sicurezza ecc...

La falsa schermata di update

STOP, versione PROMORAD
questa è appunto la versione in diffusione attualmente, concatenata a Azorult: il nome deriva al fatto che questa versione cripta i file  e vi aggiunge l'estensione .promorad. Terminata la criptazione dei file (questo ransomware bersaglia la maggior parte dei  tipi di file che sono comunemente presenti sui pc), crea il file _readme.txt contenente la nota di riscatto. 

Fonte: bleepingcomputer.com

Tra i file scaricati dal ransomware, i ricercatori di BleepingComputer hanno individuato anche un file chiamato 5.exe: una volta eseguito, questo programma crea del traffico di rete che è identico alle comunicazioni col server C&C tipiche di Azorult. 

Le comunicazioni di rete di Azorult. Fonte: bleepingcomputer.com

C'è una soluzione?
Anzitutto, alcune delle versioni di questo ransomware sono decriptabili e, come detto, per quanto riguarda le criptazioni offline ci sono ancora più possibilità di avere di nuovo i propri file in chiaro. Inoltre il tasso di individuazione del trojan Azorult da parte dei motori antivirus più comuni è ormai molto alto. 

Detto questo, è già grave essere vittima di un ransomware, ma sapere che anche password e documenti possono essere rubati aggiunge ulteriori problemi: chiunque abbia subito infezioni da parte di uno dei ransomware della famiglia STOP, oltre che preoccuparsi di come  rientrare in possesso dei propri file, dovrebbe anche cambiare le password di software come Skype, Telegram, client FTP, Steam ecc... oltre a verificare quali fossero i file presenti sul desktop al momento dell'infezione. 

Nessun commento:

Posta un commento