Nemty è un nuovo ransomware, individuato in distribuzione la prima volta gli ultimi giorni di Agosto, anche se gli amministratori del malware lo hanno reso noto nei forum del cyber crime ben prima. Il nome deriva direttamente dall'estensione che questo malware aggiunge ai file una volta terminata la routine di criptazione. La novità è che questo ransomware è "convolato a nozze" con il temibile Exploit kit RIG, usato come strumento di diffusione efficace e di massa per moltissimi malware "di punta" del monto del cyber crime.
Nemty: qualche info tecnica
Come qualsiasi ransomware, anche Nemty cancella le copie shadow sul sistema così da impedire alla vittima la possibilità di recuperare le copie dei file create dal sistema operativo Windows. Cripta una varietà enorme di tipi di file, aggiungendovi poi l'estensione ._NEMTY_Lct5F3C_.
 |
| Fonte: bleepingcomputer.com |
Ha una particolarità: Nemty, prima di avviare la criptazione, verifica se la macchina nella quale sta per eseguirsi si trovi in Russia, Bielorussia, Kazakistan, l'Ucraina e il Tagikistan. Ciò che risulta del tutto strano, incomprensibile, è che però tale verifica, che in molti ransomware comporta il termine dell'infezione, in questo caso non esonera l'host dalla routine di criptazione.
 |
| Fonte: bleepingcomputer.com |
La nota di riscatto, almeno per il test eseguito sulla prima variante del ransomware eseguita da Bleeping Computer, contiene le informazioni per contattare i cyber attaccanti e ottenere il decryptor per rimettere in chiaro i file. Il riscatto richiesta ammonta, in questo caso, a 0.09981 Bitcoin, circa 1000 dollari USA.
Il portale di pagamento si trova sulla rete Tor, così da garantire l'anonimato: le vittime devono caricare nel portale il proprio file di configurazione. Fatto questo, l'utente viene reindirizzato su un altro sito web, dove è disponibile perfino una chat per contattare gli attaccanti, oltre ad altre informazioni per la vittima, come l'ammontare del riscatto e l'indirizzo del wallet al quale indirizzare il pagamento.
Le tecniche di diffusione: RDP, exploit KIT, siti fake
In poco meno di 20 giorni Nemty ha già mostrato di avere più canali di distribuzione. Nei primi giorni di diffusione gli operatori di Nemty hanno sfruttato connessioni RDP compromesse. Rispetto alle campagne email di phishing, che sono comunque canali di diffusione per Nemty, l'uso delle connessioni RDP consente maggiore controllo agli attaccanti: evita infatti al cyber attaccante di dover attendere che la vittima designata "abbocchi all'amo" dell'email di phishing e avvii la catena di infezione.
La scorsa settimana invece è stato distribuito tramite l'exploit kit RIG: RIG, più che essere un semplice exploit kit, è una vera e propria piattaforma usata per diffondere malware di ogni genere. E' infatti un exploit kit in affitto, noleggiabile nel dark web. Va "nascosto" entro una pagina web: al momento in cui una vittima viene attratta, con svariate tecniche, sulla pagina compromessa, questo Exploit verifica le informazioni inviate dal computer al sito web (ad esempio sistema operativo o versione del browser" per selezionare l'exploit più efficace su quel target e installare il malware prescelto da remoto.
Infine pochissimi giorni fa, il ricercatori indipendente nao_sec ha individuato addirittura una pagina fake di PayPal, che promette di restituire all'utente il 3-5% degli acquisti effettuati tramite il sistema di pagamento di PayPal.
 |
| Il sito PayPal fake. Fonte: https://twitter.com/nao_sec |
Gli indizi della natura fraudolenta della pagina sono molteplici e già la maggior parte dei browser la segnala come pericolosa, ma, come sappiamo, questo non significa che non vi saranno utenti ingannati, sopratutto perché a prima vista, la pagina ricalca almeno la grafica e le sezioni base del sito originale di PayPal. Un ulteriore livello di inganno per la vittima è dato dall'uso di tecniche di attacco omografico: parliamo di una forma particolare di spoofing nella quale l'attaccante sfrutta la somiglianza di caratteri tipografici per emulare i link originali. Un esempio banale potrebbe essere g00gle.com, dove la doppia O è sostituita con una coppia di zero. In questo caso i cyber criminali hanno usato questa tecnica per riprodurre i link alle varie sezioni del sito, secondo le sezioni originali di PayPal (Help & Contact, Fees, Apps, Security ecc...).
Il payload di Nemty è camuffato da app ufficiale di PayPal: il file è chiamato cashback.exe.
Nemty ad ora è arrivato alla versione 1.4, ma non ha subito alcuna modifica a parte correzioni di bug di funzionamento. Non esiste attualmente una modalità gratuita di decriptazione.
Nessun commento:
Posta un commento