Partiamo da un dato di fatto: Ryuk è, ad ora, il top ransomware. Può "giocarsela" con Maze, ma indubbiamente sta nella top dei ransomware ormai stabilmente da più di un anno. A Ryuk e Maze si deve una lievitazione impressionante della media dell'ammontare dei riscatti ransomware e un nuovo modello di attacco, una rivoluzione nel mondo di questi malware: colpire in maniera mirata target facoltosi (aziende ed enti) anziché perseguitare home user che al massimo possono spendere qualche migliaio di dollari per riavere in chiaro le foto delle vacanze.
Il ransomware Conti è stato individuato nel Dicembre 2019, diffuso soltanto in attacchi mirati e isolati: da quel momento gli attacchi che lo hanno visto protagonista sono aumentati lentamente, ma alla fine di Giugno il numero di infezioni segnalate ha raggiunto livelli che cominciano ad essere allarmanti. Cogliendone le potenzialità, l'esperto di ransomware Lawrance Abrams ha cominciato quindi a tracciarlo ed analizzarlo.
Qualche dettaglio tecnico
I legami tra Ryuk e Conti
L'analisi ha mostrato alcune somiglianze tra i due ransomware: il codice sembra, nei fatti, una versione 2.0 migliorata e corretta del già temibile Ryuk. Inoltre, la nota di riscatto inviata dagli attaccanti dopo il primo contatto utilizza lo stesso modello esatto usato da Ryuk in attacchi precedenti.
Non solo: Conti e Ryuk condividono l'uso della stessa infrastruttura TrickBot come parte integrante degli attacchi. In pratica i due ransomware utilizzano la stessa infrastruttura di distribuzione, usando le backdoor che TrickBot lasciano sulle reti delle vittime. L'ipotesi sembra confermata dai dati esposti dal ricercatore Vitali Kremez, che cura il servizio di individuazione ID Ransomware: mano a mano che sono andate aumentando le segnalazioni di infezione del ransomware Conti, di pari passo sono andate diminuendo quelle di Ryuk.
Uno sguardo sotto la superficie
Le più recenti analisi sul ransomware indicano che la prima operazione svolta da Conti sui sistemi è quella di interrompere più di 146 servizi Windows collegati a sicurezza, backup, database e soluzioni email. Subito dopo vengono cancellate le Shadow Volume copies così da impedire ogni possibilità di ripristino del sistema, quindi si avvia la routine di criptazione. Il ransomware usa una chiave crittografica AES-256 unica per file: questa viene criptata con una chiave pubblica RSA-4096, diversa per ogni vittima. I file criptati sono riconoscibili perchè il ransomware vi aggiunge l'estensione .CONTI, dalla quale deriva il nome.
In ogni cartella con file criptati viene copiata la nota di riscatto, rinominata CONTI_README.txt, che è caratterizzata dal totale minimalismo dei contenuti: una brevissima frase e le email di contatto.
La somma media chiesta per adesso in riscatto è sui 100.000 dollari, estremamente più bassa se comparata alle cifre richieste dai "colleghi" di categoria di Conti.
Una peculiarità di questo ransomware è che supporta un argomento che gli consente di modulare la tipologia di criptazione intorno alle caratteristiche della vittima: ad esempio può essere impostato per criptare solo le unità locali oppure per criptare solo le condivisioni di rete. Può perfino mirare specifici indirizzi IP.
Il meccanismo di criptazione è piuttosto veloce: Conti usa multipli thread per criptare più file contemporaneamente, riducendo non poco i tempi necessari per criptare interi volumi. Questa non è una novità, va detto, ma Conti è il primo ransomware che riesce ad utilizzare ben 32 thread simultanei. L'altra faccia della medaglia (per gli attaccanti) è che l'uso della CPU e del disco schizzano alle stelle, determinando un rallentamento della macchina: nonostante questo, i tempi di criptazione rispetto ad altri ransomware sono molto ridotti. Questi segnali però potrebbero mettere in allarme l'utente e indurlo a verificare che cosa non stia funzionando correttamente: il ransomware corre così il rischio di essere scoperto prima della fine della routine di criptazione, ma solo se "di fronte a lui" c'è un utente mediamente esperto.
L'uso di Windows Restart Manager
La ciliegina sulla torta è l'uso di Windows Restart Manager. Uno dei problemi dei ransomware è che non posso criptare i file mentre sono aperti: per questi motivi spesso non riescono a criptare file importanti come i database. L'API Restart Manager è stata implementata da Windows per ridurre il numero dei riavvii di sistema necessari per completare un update o una installazione. Il motivo principale per il quale l'aggiornamento di un software richiede il riavvio del sistema è che alcuni file da modificare risultano chiusi perchè in uso da altre applicazioni o servizi in esecuzione: Restart Manager consente di arrestare e riavviare tutti i servizi di sistema tranne quelli critici, liberando così i file in uso e permettendo di portare a termine le operazioni, anche quelle ransomware purtroppo.
Ad ora non esiste una soluzione a questo ransomware e la diffusione in Europa sembra ancora estremamente limitata, ma i riflettori dei ricercatori di sicurezza sono puntati tutti su Conti: potremmo davvero essere di fronte al successore del già temibile ransomware Ryuk.
Nessun commento:
Posta un commento