venerdì 21 gennaio 2022

Il CERT individua una variante made in Italy del ransomware Chaos: attacca singoli utenti

Il CERT AGID, su segnalazione di alcuni ricercatori di sicurezza, ha analizzato una variante del ransomware Chaos in distribuzione in Italia in queste ultime due settimane.  La nota di riscatto è interamente in lingua italiana e sfrutta come tema la Polizia di Stato e la presunta presenza di materiale pedopornografico nel dispositivo infetto. 

La nota di riscatto viene generata al termine della criptazione dei file, mentre lo sfondo desktop viene sostituito con la foto di due agenti di Polizia. 

La nota di riscatto

L'ammontare del riscatto è assolutamente irrisorio rispetto alla media dei ransomware, ma la cosa si deve all'evidenza che questo ransomware non è pensato per attacchi mirati contro aziende ed enti pubblici, ma contro singoli utenti dai quali non si possono "cavare" riscatti di entità importante. E', un ritorno alle origini: se negli ultimi anni si sono specializzati in attacchi mirati per richiedere alti riscatti, in origine i ransomware puntavano più sulla quantità che sulla qualità delle vittime. Campagne come queste, che richiedono riscatti scarni, sono pensati per la diffusione massiva contro singoli utenti che, si presume, non sono dotati di strumenti di cyber security avanzati come quelli aziendali. 


Pagare il riscatto non fa rientrare in possesso dei file

Gli utenti che fino ad ora sono stati vittime di questo ransomware hanno segnalato come pagare il riscatto non comporti il ritorno  in possesso dei file presenti sulla macchina. Il decryptor inviato dai cyber attaccanti infatti presenta un bug per il quale i file di dimensioni superiori a 2 MB non sono criptati, ma vengono sovrascritti con dati casuali: diventa quindi del tutto impossibile ripristinarli, a meno che la vittima non possegga un backup rimasto indenne dall'attacco. 


Qualche info tecnica
Il ransomware è una applicazione basata su .NET di livello elementare: non presenta alcun offuscamento del codice cosa che lo rende facilmente individuabile da parte delle soluzioni antivirus e anti malware. Anche le funzionalità di cui è dotata questa versione made in Italy sono basilari. 

La catena di infezione si compone di 5 diverse fasi, spiegano dal CERT:

  • fase iniziale (elevazione dei privilegi di amministrazione, gestione istanze multiple e ottenimento della persistenza sul dispositivo);
  • routine di criptazione;
  • propagazione;
  • generazione nota di riscatto;
  • sostituzione degli indirizzi Bitcoin nella clipboard. 

L'elementarità del ransomware è confermata già nella prima fase. Tutti i gestori di ransomware si assicurano di non trovarsi ad avere istanze multiple del ransomware in esecuzione: invece dell'uso del solito mutex, Chaos italiano verifica soltanto che non esista un processo con percorso identico ma diverso PID (Process IDentifier). 


I tecnici del CERT fanno notare come questo controllo sia poco efficace quando:

"associato con le varie copie che il malware fa di sé stesso in altre directory in quanto può portare alla terminazione di tutte le istanze anziché solo di quelle superflue (poiché manca l’esclusività garantita da un mutex). In ogni caso, è in linea con la bassa complessità generale del codice utilizzato."

L'elevazione dei privilegi invece avviene sferrando un "attacco diretto" all'utente: Chaos non ha una funzionalità che si occupa dell'escalation, ma punta sull'ingegneria sociale. Chaos infatti mostra all'utente una finestra UAC per il programma Premi_SI (che altro non è che una copia del ransomware che questo esegue in %AppData%\Premi_Si.exe): se l'utente clicca SI il ransomware è libero di agire. Cliccando NO, semplicemente, l'infezione termina. Anche questo ribadisce che Chaos Ransomware made in Italy si concentra su utenti singoli poco consapevoli. 

La persistenza è ottenuta banalmente creando un link al proprio eseguibile nella cartella Startup. 

La criptazione utilizza l'algoritmo di criptazione AES-256-CBC: durante la routine, per ogni file criptato è generata una password casuale di 20 byte, salvata all'inizio di ogni file. Queste password sono criptate con cifratura RSA-1024.

L'estensione di criptazione che questa versione "appiccica" ai file criptati è .polizia. Non che alla versione in diffusione manchi una funzionalità capace di generare estensioni casuali, ma non è in uso. La nota di riscatto si chiama POLIZIA_DI_STATO.txt.

Il report completo del CERT-AGID è disponibile qui

Nessun commento:

Posta un commento