venerdì 17 gennaio 2020

L'exploit kit di WannaCry torna alla carica: il ransomware 5ss5c recupera EternalBlue


Ricorderete sicuramente WannaCry, il ransomware con capacità di diffusione simili a un worm che registrò così tante infezioni e mostro virulenza tale da essere a tutt'oggi considerato l'attacco ransomware più devastante della storia. L'impressionante virulenza di WannaCry derivava dall'uso di un exploit kit ben preciso, EternalBlue appunto. 


EternalBlue in breve
EternalBlue è un exploit kit sviluppato dalla divisione cyber dell'NSA, l'Agenzia di Sicurezza nazionale degli Stati Uniti. Rientrava in una più ampia serie di tool che gli Stati Uniti usavano per questioni di sicurezza nazionale: peccato che nel 2016 tutti questi tool sono stati rubati dai server NSA. Il furto, avvenuto per opera del gruppo di hacking Shadow Broker, ha avuto come conseguenza la perdita di controllo da parte dell'NSA di tutti gli exploit kit sottratti e, ovviamente, l'impiego degli stessi da parte del cyber crimine. 

EternalBlue sfrutta una vulnerabilità dell'implementazione della v.1 del protocollo SMB per penetrare non solo nel sistema bersaglio, ma diffondersi lungo tutta la rete. E' stato alla base della impressionante virulenza di WannaCry, BadRabbit e del wiper NotPetya.  La vulnerabilità sulla quale fa leva è stata patchata già nel corso del 2017, ma, evidentemente, sono ancora tanti i sistemi vulnerabili: tanti abbastanza da convincere un gruppo di cyber attaccanti a sfruttare questo di nuovo questo exploit per diffondere un nuovo ransomware. 

Qui il bollettino di sicurezza con il quale Microsoft indica la risoluzione della falla >> MS17-010 

5ss5c: il ransomware in via di sviluppo 
Il Cert-PA riporta l'analisi del ricercatore Bartblaze che, nel suo blog personale, ha analizzato in dettaglio questo nuovo ransomware. La buona notizia è che il ransomware è ancora in via di sviluppo, quindi ad oggi non risultano infezioni se non nel continente asiatico. La notizia interessante è che ci si può mettere al riparo PRIMA che questo ransomware inizi a diffondersi, semplicemente installando la patch già rilasciata da Microsoft oltre due anni fa. 

In dettaglio, 5ss5c presenta caratteristiche molto simili ad un ransomware già individuato nel 2017, Satan: come Satan, il downloader di 5ss5c scarica lo spreader (Eternalblue e credenziali), Mimikatz e un altro tool che per il furto password, infine l'eseguibile del ransomware. 

Proprio come Satan, 5ss5c cifra soltanto i file con le seguenti estensioni:
7z, bak, cer, csv, db, dbf, dmp, docx, eps, ldf, mdb, mdf, myd, myi, ora, pdf, pem, pfx, ppt, pptx, psd, rar, rtf, sql, tar, txt, vdi, vmdk, vmx, xls, xlsx, zip

Tutte estensioni legate a documenti, archivi, file di database ed estensioni relative a VMware (wmdk).
Ai file criptati verrà anteposto l'indirizzo email 5ss5c@mail.ru, quindi un token univoco con il nome del ransomware. Il cert-PA ha pubblicato questo esempio, nel quale il file test.txt viene modificato in:

[5ss5c@mail.ru]test.txt.Y54GUHKIG1T2ZLN76II9F3BBQV7MK4UOGSQUND7U.5ss5c

Una volta criptati i file, 5ss5c avvia le comunicazioni con il proprio server C&C e crea la nota di riscatto sull'unità C:\, contenente contatti e istruzioni per il pagamento del riscatto. Le note di riscatto per adesso rilevate sono tutte scritte in cinese: nel testo si avvisa che il riscatto raddoppia dopo 48 ore.

La nota di riscatto del ransomware 5ss5c

Nessun commento:

Posta un commento