Informatica Generale, ransomware, Recensioni, Sicurezza Informatica

White Rose : scoperto nuovo Ransmoware

E’ notizia dei primi di Aprile : ” Un nuovo ransomware è stato scoperto! “; basato sulla famiglia di ransomware InfiniteTear, di cui BlackRuby e Zenis sono membri.

Quando questo ransomware infetta un computer, andrà a crittografare i file, generando casualmente i nomi ed aggiungendo l’estensione .WHITEROSE .
Attualmente non è noto con certezza come verrà distribuito questo ransomware, ma i rapporti indicano che viene installato manualmente tramite l’hacking nei servizi di Desktop remoto. Inoltre, sulla base delle comunicazioni inviate a ID-Ransomware, lo sviluppatore di questo ransomware sembra rivolgersi ai paesi europei, con una forte attenzione alla Spagna.
La buona notizia è che questo ransomware sembra essere decifrabile

La nota di riscatto WhiteRose si legge come una poesia

Sia il BlackRuby Ransomware che ora WhiteRose hanno note di riscatto che sembrano più un compito da un corso di scrittura creativa piuttosto che una richiesta di riscatto.
Nella nota di WhiteRose, lo sviluppatore racconta la storia di un hacker isolato e solitario circondato da rose bianche in un giardino. Continua a dichiarando di voler condividere le sue rose bianche con il mondo crittografando il tuo computer e trasformandolo in un fiore. Il testo completo della richiesta di riscatto può essere trovato alla fine di questo articolo.

Come agisce WhiteRose:

All’avvio  WhiteRose controlla se esiste il file C: \ Perfect.sys; se esiste, uscirà dal programma, altrimenti creerà il file, che viene mostrato di seguito :

1

Dopodiché il ransomware eseguirà la scansione di tutte le unità sul computer e cercherà i file che corrispondono a determinate estensioni e quindi le crittograferà. Le estensioni di file prese di mira da WhiteRose sono:

2.JPG

Nel suo operare sui file da crittografare, non verranno crittografati quelli che si trovano nelle seguenti cartelle:

Windows
Program Files
$Recycle.Bin
Microsoft

Quando un file è crittografato, viene rinominato con un nome casuale con l’estensione _ENCRYPTED_BY.WHITEROSE aggiunta ad esso. Quindi test.jpg sarebbe stato criptato e rinominato in qualcosa come 6zyaqFcPJaeJATyA_ENCRYPTED_BY.WHITEROSE.

3

In ogni cartella scansionata, creerà una richiesta di riscatto denominata HOW-TO-RECOVERY-FILES.TXT che contiene un’immagine ASCII di una rosa, la storia “interessante” e poi le istruzioni su come pagare il riscatto.

4

5

Al termine, WhiteRose eseguirà i seguenti comandi per disabilitare Ripristino all’avvio di Windows, eliminare le copie del volume shadow e cancellare i registri eventi per poi cancellarsi definitivamente dal sistema.

cmd.exe /C vssadmin.exe delete shadows /all /Quiet
cmd.exe /C WMIC.exe shadowcopy delete
cmd.exe /C Bcdedit.exe /set {default} recoveryenabled no
cmd.exe /C Bcdedit.exe /set {default} bootstatuspolicy ignoreallfailures
cmd.exe /C wevtutil.exe cl Application
cmd.exe /C wevtutil.exe cl Security
cmd.exe /C wevtutil.exe cl System

Su White Rose ancora molto si potrà dire, sopratutto sulle operazioni di mitigazione (che parrebbero possibili) e sulla prevention.

Come al solito a disposizione per qualsiasi richiesta.

Ricordatevi i Backup!

D.

Informatica Generale, Sicurezza Informatica

Alert! Nuova Campagna Malware

Con la presente desidero informarvi riguardo al recente rilevamento di nuovi attacchi mirati ad organizzazioni italiane (Aziende, P.A.)  caratterizzati da email malevole appositamente create.

La peculiarità della campagna risiede nella personalizzazione dei messaggi fraudolenti all’interno dei quali vengono utilizzati riferimenti all’organizzazione obiettivo o riferimenti all’organizzazione mittente. La metodologia con la quale gli attaccanti accedono a questo genere di informazioni riservate è con larga probabilità quella dello spoofing, tecnica con la quale è possibile insediarsi nelle mailbox altrui eseguendo codice malevolo atto a controllarne le funzionalità.

Tale circostanza può aumentare l’efficacia dell’attacco in quanto le email possono apparire maggiormente contestualizzate.

I messaggi di posta analizzati contengono documenti Office armati di macro malevole in grado di scaricare ed eseguire file “.hta” sul sistema i quali, successivamente, infettano la vittima con malware legato alla famiglia Gozi/Ursnif: minaccia in grado di trafugare dati, fornire accesso backdoor all’host, intercettare digitazioni effettuate su tastiera ed attività utente.

Nei casi analizzati l’allegato si chiama “Richiesta.doc” ed anche il corpo della mail è sempre il medesimo.

img2

L’allegato una volta aperto si presenta in questo modo :

sss

Questi gli indicatori di compromissione rinvenuti :

Di seguito si riportano gli indicatori di compromissione individuati:

  • Malspam:
    • Oggetto:
      • “Re: Letto: Auguri Pasqua <NOME-ORG-MITTENTE>”
      • “Programma assicurativo <NOME-ORG-DESTINATARIO>”
    • Allegato:
      • “Richiesta.doc”
      • “BIG_Richiesta.doc” (o altre variazioni di prefisso)
  • DropUrl:
    • 66.55.129[.196
    • auwhguahsdusahdsd[.com
    • hxxp:// auwhguahsdusahdsd[.com/REX/freddie.php?l=itnerd
    • hxxp:// auwhguahsdusahdsd[.com/REX/slick.php?utma=itnerc
    • hxxp:// auwhguahsdusahdsd[.com/NOC/itnera.class
    • hxxp:// auwhguahsdusahdsd[.com/NOC/itnerb.class
    • hxxp:// auwhguahsdusahdsd[.com/NOC/itnerc.class
    • hxxp:// auwhguahsdusahdsd[.com/NOC/itnerd.class
  • C2 (https):
    • 206.221.181[.251
    • bungisdiqndwijgnqwdok[.net
    • 66.55.129[.199
    • fwqfqkghsdjefgguhnasd[.net
    • omanghqhernafhvzhzxc[.com
  • Hash:
    • 100d5f69d62457f56ac013dfeb360c7a7fcb552f7aa8b9e0991420a1e0775057 doc
    • e23dbab02d02b46b380dcbb2f56cc6220d0449fde2075bfffabbe8588a25e2e9 doc
    • b618538a3e54a16b6d2b688202cb7866be5748bc57e7ac022aaa4d7cb9a61363 doc
    • 8b35505d4ad5f645f3130f89d2ebbaf39c74682cb3acee2f5a4a139cea2d5e20 hta
    • 0cbe0ac5a400dfc5bf5504805b8529ba010b2df702558693811ae4aa64202271 exe

Il consiglio è sempre di mantere elevata l’attenzione nella gestione dei propri messaggi di posta elettronica data l’elevata customizzazione raggiunta da queste campagne di attacco. Mantenere sempre un sistema di protezione aggiornato ed efficiente e verificare con frequenza i backup locali e di rete.

Per ogni chiarimento non esistate a contattarmi.