Ragnarok è un ransomware il cui debutto sulle scene del cybercrime è piuttosto recente: specializzato in attacchi mirati contro le aziende, ha già mietuto alcune vittime anche in Italia.
Le analisi dei ricercatori di FireEye hanno fornito importanti informazioni su questa minaccia, che pare specializzata nell'attaccare i server Citrix ADC vulnerabili. In dettaglio gli attaccanti sfruttano la già nota vulnerabilità CVE-2019-19781 per accedere ai sistemi bersaglio e installare quindi Ragnarock. Quando l'attaccante riesce a compromettere un dispositivo Citrix ADC, vengono subito scaricati ed eseguiti una serie di script che ricercano nella rete computer Windows che presentano la vulnerabilità EternalBlue (anche questa patchata da tempo). Se tale vulnerabilità viene individuata e l'exploit ha successo, viene successivamente iniettata una DLL che scarica e installa il ransowmare.
La vulnerabilità CVE-2019-19781
Per quanto non sia possibile escludere altri vettori di attacco, la maggior parte delle infezioni del ransomware Ragnarock originano dall'exploit della vulnerabilità CVE-2019-19781 che è presente nelle applicazioni Citrix Application Delivery Controller (ADC) e Citrix Gateway e nell'appliance Citrix SD-WAN WANOP.
Da parte sua, Citrix è già corsa ai ripari rendendo disponibile la versione 10.5 dell'ADC, che contiene il fix permanente per questa vulnerabilità (link di riferimento per la problematica qui) .
Qualche dettaglio tecnico
Ragnarock presenta meccanismi di verifica del linguaggio in uso sul sistema infetto: gli operatori verificano l'ID linguaggio di Windows installato e, se questo combacia con uno di quelli sotto elencati, la routine di criptazione non verrà inviata.- 419 = Russia
- 0423 = Bielorussia
- 0444 = Russia
- 0442 = Turkmenistan
- 0422 = Ucraina
- 0426 = Lituania
- 043f = Kazakistan
- 042c = Azerbaijan
- 0804 = Cina
Se il test della lingua ha successo, gli operatori proseguono nell'attacco cercando, per prima cosa, di disabilitare Windows Defender: questo programma di sicurezza è sempre più solido e sta creando non pochi grattacapi ai cyber attaccanti che, quindi, hanno risposto mettendolo sotto assedio. GootKit, TrickBot e altre infezioni si sono dotate di svariati meccanismi per riuscire a bypassare Windows Defender. Anche Ragnarock si aggiunge a questa lista, aggiungendo le seguenti policies group per disabilitare varie protezioni di Windows Defender:
- HKLM\SOFTWARE\Policies\Microsoft\Windows Defender "DisableAntiSpyware" = 1
- HKLM\SOFTWARE\Policies\Microsoft\Windows Defender\Real-Time Protection "DisableRealtimeMonitoring" = 1
- HKLM\SOFTWARE\Policies\Microsoft\Windows Defender\Real-Time Protection "DisableBehaviorMonitoring" = 1
- HKLM\SOFTWARE\Policies\Microsoft\Windows Defender\Real-Time Protection "DisableOnAccessProtection" = 1
C'è però una buona notizia: gli utenti che hanno abilitato la funzione di Protezione Antimanomissione di Windows 10 sono al sicuro da queste modifiche perchè Windows, semplicemente, ignorerà ogni tentativo di bypassare Windows Defender.
Come tutti i ransomware Ragnarock tenterà anche di cancellare le Shadow Volume Copies, disabilitare il ripristino del sistema e disattivare il Firewall di Windows con i comandi
- cmd.exe /c vssadmin delete shadows /all /quiet;
- cmd.exe /c bcdedit /set {current} bootstatuspolicy ignoreallfailures;
- cmd.exe /c bcdedit /set {current} recoveryenabled no;
- cmd.exe /c netsh advfirewall set allprofiles state off
Anche Linux nel mirino?
I ricercatori hanno anche individuato una serie di strani riferimenti a percorsi file Unix/Linux nell'eseguibile per Windows del ransomware. Non è chiara la loro funzione, ma i ricercatori sospettano che siano indizi di "lavori in corso", ovvero che gli sviluppatori del ransomware stiano approntando un'arma cross-platform.
La routine di criptazione
La routine di criptazione di Ragnarock è del tutto simile a quella di molti altri ransomware e non presenta particolarità. Quando cripta i file usa la criptazione AES e la chiave generata sarà a sua volta criptata con una chiave di criptazione RSA correlata. In questo modo soltanto gli sviluppatori del ransomware hanno la facoltà di decriptare la chiave di criptazione della vittima.
Ogni file criptato vedrà l'aggiunta dell'estensione .ragnarock al nome del file
 |
| Fonte: Vitali Kremez |
La nota di riscatto !!ReadMe_To_Decrypt_My_Files.txt. verrà copiata in ogni cartella contenente file criptati. Oltre alle indicazioni per le vittime, la nota contiene tre diversi indirizzi di contatto mail per ricevere le istruzioni di pagamento.
 |
| Fonte: Vitali Kremez |
Nessun commento:
Posta un commento