lunedì 6 maggio 2019

MegaCortex: il nuovo ransomware che colpisce le reti aziendali (anche in Italia)


E' stato individuato, già usato in attacchi reali, un nuovo ransomware che prende di mira le reti aziendali e le workstation collegate. Si chiama MegaCortex e usa i domain controller di Windows per distribuirsi in tutta la rete, una volta trovato un punto di accesso. Si registrano infezioni già in svariati stati, sopratutto in Stati Uniti, Italia. Canada, Francia, Paesi Bassi e Irlanda. Non si conoscono ancora molti particolari di questo ransomware, sopratutto sui meccanismi di diffusione e di criptazione, perchè risulta essere integralmente nuovo: non c'è traccia, nel suo codice, di elementi "presi in prestito" da altre famiglie di ransomware. 

Quale dato tecnico
Quel che per ora i ricercatori di sicurezza sono riusciti a ricostruire è che il ransomware MegaCortex infetta reti sulle quali sono già presenti altri due malware, ovvero i trojan Emotet (bancario) e Qakbot (botnet): questo fatto suggerisce che gli attaccanti stiano pagando gli operatori ai comandi di questi due trojan per sfruttare l'accesso che questi hanno già ottenuto ai sistemi aziendali. 
Tutte le vittime fino ad adesso hanno segnalato che gli attacchi provengono da un domain controller compromesso: su questo viene scaricato ed eseguito Cobolt Strike, per creare una reverse shell verso un host degli attaccanti.Tramite questa shell gli attaccanti possono ottenere l'accesso remoto al domain controller e configurarlo per distribuire una copia di PSExec, l'eseguibile principale del malware e un file batch su tutti i computer della rete. Quindi il file batch viene eseguito da remoto tramite PSExec. 

Il file batch contiene i comandi per arrestare 44 differenti processi, bloccare 199 servizi di Windows e disabilitare altri 194 servizi. 


Una volta terminati o interrotti tutti i possibili servizi che potrebbero impedire l'esecuzione dell'eseguibile dannoso o la criptazione dei file, il file batch contiene il codice utile ad eseguire il file principale del malware, chiamato winnit.exe. 


L'eseguibile è lanciato con una stringa codificata in base64 come argomento: l'uso dell'argomento corretto farà si che il malware estragga un file .DLL dal nome random e lo esegua usando rundll32.exe. Questa libreria DLL è la componente del ransomware responsabile della criptazione del computer. 

Come cripta i file
Il meccanismo di criptazione non è ancora chiaro: una volta che i file sono stati criptati, viene aggiunta l'estensione .aes128ctdopo l'estensione originale.

Ad esempio il file cartella.xls diverrà cartella.xls.aes128ctr. Alcuni utenti però hanno segnalato estensioni diverse, quindi non è ancora chiaro quale meccanismo provochi la scelta di una estensione piuttosto che un'altra o se queste siano del tutto random. 

Al termine della criptazione il ransomware crea un altro file con lo stesso nome del fil DLL precedentemente estratto e aggiungerà l'estensione .tsv. Nella parte superiore di questo file è presente una stringa codificata in base64 che i ricercatori sospettano essere la chiave di decriptazione in forma criptata. 

La nota di riscatto
La nota di riscatto è chiamata  !!!_READ_ME_!!!.txt e contiene le informazioni utili per capire cosa è successo e per contattare gli attaccanti. Due sono, per adesso, le email di contatto:

shawhart1542925@mail.com e anderssperry6654818@mail.com.

I payload secondari
I ricercatori hanno notato come MegaCortex "non venga mai da solo": hanno cioè notato come questo ransomware si sposti in coppia con altri payload secondari... altri malware quindi. Uno di questi payload secondari attiene al malware Rietspoof (per approfondire, leggi qui): questo è un malware multi-stage utilizzato per diffondere più payload sulla stessa macchina.  Attualmente non si può affermare con certezza se sia Rietspoof a diffondere, quindi, MegaCortex o se, viceversa, sia il ransomware a portare con sè Rietspoof come payload secondario. 

Alcune indicazioni base per proteggersi da questo ransomware
Attualmente non esistono maniere conosciute di decriptare i file senza pagare il riscatto agli attaccanti (strada che sconsigliamo caldamente, anche perché non c'è alcuna certezza che, pagato il riscatto, l'azienda vittima riceverà il tool di decriptazione funzionante). 

Difficilmente si può pensare che questo ransomware venga diffuso tramite email di spam: è molto più probabile che l'accesso possa avvenire o sfruttando le backdoor lasciate aperte da altri malware oppure violando i Remote Desktop Service pubblicamente accessibili via Internet. In questo ultimo caso è molto importante ricordarsi di "nascondere" i servizi di desktop remoto dietro un buon firewall e di renderli accessibili solo tramite VPN. 

Indicatori di compromissione
  1. File:
    !!!_READ_ME_!!!.txt
    [random].tsv
  2. Email di contatto:
    shawhart1542925@mail.com
    anderssperry6654818@mail.com

Nessun commento:

Posta un commento