Nuovo allarme ransomware in Italia: Sodinokibi si diffonde via false email a contenuto legale

I ricercatori di Yoroi hanno diramato un nuovo alert relativo ad attacchi in corso contro sia contro home user che enti/aziende italiane. Nel dettaglio, si tratta di vere e proprie ondate di attacchi nei quali vengono diffuse centinaia di migliaia di email di spam contenenti archivi compromessi. In diffusione c'è una nuova minaccia ransomware, chiamata Sodinokibi. 

Le email vettore

Le email sono messaggi fraudolenti che simulano comunicazioni di carattere legale: nel dettaglio si parla di importanti documenti legali (come pignoramenti) e, addirittura, notifiche di comparizione.  Tutte le email, con oggetto variabile da ondata a ondata, recano un archivio compresso solitamente rinominato "i tuoi documenti del caso.doc" e protetto da password.  L'apertura dell'allegato comporta il download e l'esecuzione del ransomware Sodinokibi.

Una nuova minaccia ransomware: Sodinokibi

Sodinokibi è un nuovo ransomware, in diffusione da poche settimane, ma che si è già reso protagonista di svariate campagne di attacco in Europa, sopratutto in Italia e Germania. Viene diffuso, come detto, tramite archivi compressi protetti da password, che, una volta aperti, contengono documenti Word per la cui visualizzazione è richiesta l'abilitazione delle macro: questa non è altro che un file VBA altamente offuscato contenente le istruzioni per il download del ransomware, che viene salvato in %Temp%\Microsoft-Word.exe. Sotto la macro VBS offuscata e deoffuscata

Sodinokibi verrà automaticamente lanciato dopo essere stato copiato sulla macchina compromessa: c'è una piccola ancora di salvataggio, però. Se l'utente è sufficientemente consapevole dei rischi informatici o non si sarà troppo agitato per la comunicazione di stampo legale, potrà rifiutare la concessione delle permissioni che il ransomware richiederà tramite un prompt User Account Control (UAC). Se, al contrario, l'utente concederà le permissioni, inizierà l'infezione. 

Sotto alcuni screenshot delle email distribuite in Germania e del documento allegato:

Fonte: bleepingcomputer.com

Come cripta i file

Sodinokibi per prima cosa userà i seguenti comandi per disabiliare il ripristino dello startup di Windows e cancellare le Shadow Copies dei file, impedendone così il recupero. 

"C:\Windows\System32\cmd.exe" 

/c vssadmin.exe Delete Shadows /All /Quiet & bcdedit /set {default} recoveryenabled No & bcdedit /set {default} bootstatuspolicy ignoreallfailures

Il ransomware inizierà poi la criptazione dei file della vittima usando un estensione random unica, cioè diversa per ogni macchina infetta. 

Fonte: bleepingcomputer.com

La nota di riscatto, chiamata [estensione di criptazione]-HOW-TO-DECRYPT.txt verrà copiata in ogni cartella: contiene la chiave unica e alcuni link al sito di pagamento. 

Fonte: bleepingcomputer.com

L'estensione unica e la chiave saranno richieste all'utente al momento in cui si collega al portale di pagamento per il pagamento del riscatto.  Il portale contiene anche un conto alla rovescia, terminato il quale il riscatto raddoppia.