Ransomware: la nuova frontiera del malware informatico

I cybercriminali stanno lentamente modificando le strategie di attacco utilizzando tecniche "ransomware", che prevedono un 'rapimento' dei dati e la richiesta di un riscatto in cambio della decrittazione degli stessi.

Redazione PMI-dome | 02 luglio 2008

Il cyberterrorismo è il nuovo aspetto della mafia moderna. Ricattare, lanciare attacchi DDoS (denial of service, letteralmente’ negazione’ del servizio. In questo tipo di attacco si cerca di portare il funzionamento di un sistema informatico che fornisce un servizio, ad esempio un sito web, al limite delle prestazioni, lavorando su uno dei parametri d'ingresso, fino a renderlo non più in grado di erogare il servizio) contro siti web chiedendo poi riscatti, dimostra come i malware writer hanno capito come è possibile fare molti soldi.

I cybercriminali stanno lentamente modificando le loro strategie di attacco contro le aziende, abbandonando i tradizionali cyberattacchi su vasta scala in favore di tecniche "ransomware", che prevedono la criptazione (rapimento) dei dati degli utenti e la richiesta di un riscatto in cambio della decrittazione degli stessi.

Questo tipo di software nocivo infetta un PC, esegue la criptazione di alcuni dati e poi mostra un avviso che invita la vittima a mandare soldi per ottenere la chiave di decrittazione necessaria per accedere nuovamente ai dati in ostaggio. Non si tratta di una tipologia di codice troppo nuova.
Tra gli esempi più recenti troviamo Cryzip, scoperto a Marzo 2006, e GPCode, scoperto a Maggio 2005.
Cryzip e GPCode non hanno causato danni su vasta scala, ma si ritiene ritiene che dal 2008 in poi  i cybercriminali saranno in grado di affinare le tecniche di programmazione di questi Trojan.

Questi malware (software maliziosi) agiscono prevalentemente in base alle seguenti modalità: criptando il contenuto di alcune cartelle o di alcuni file del pc vittima, oppure inibiscono completamente l'utilizzo con l'avvertimento (di solito con un file .txt o .word) che se entro certo numero di minuti non viene effettuato un versamento in denaro verrebbe avviata una procedura di cancellazione progressiva di dati contenuti nell'hardware della macchina.

Il fenomeno, pare, sarebbe nato dall'intuizione di alcuni hackers russi e si trattava di richieste estorsive che si aggiravano intorno ai trecento dollari, denaro che doveva essere pagato tramite Cryzip, ovvero tramite il poco noti ai più sistema di pagamenti e-Gold. Negli ultimi tempi, tuttavia, i malfattori hanno ridotto le proprie pretese al fine di adeguarsi ad una platea più ampia, seppure meno abbiente, e fra i sistemi di pagamento accettati vi sono anche i noti Western Union e Paypal.

L'ultimo ransomware rilevato scoperto è stato Troj/Ransom-A, che richiede 'solo' 10.99 dollari di riscatto da inviare via Western Union. Questo metodo  non si limita (per così dire) a fare danni al computer, ma lucchetta i dati (documenti, foto, e altro) con una cifratura sofisticatissima con chiave a 1024 bit: se si vuole ritornare in possesso,si deve pagare una tagente (o un "pizzo" del terzo millennio) ai gestori del virus.
La lunghezza della chiave significa che la decifrazione per forza bruta è sostanzialmente impossibile, per cui l'unica maniera per riavere i propri dati sembra essere quella di pagare il riscatto.

Il virus si fa riconoscere perché aggiunge l'estensione "._CRYPT" in fondo all'estensione preesistente dei file che bloccato e poi colloca nella medesima cartella/directory un file "!_READ_ME_!.txt" che spiega come procedere per far avere il riscatto.
Questa è una minaccia emergente "Ransomware": documenti e file personali sotto scacco si tratta di componenti nocivi che, una volta insediatisi sul sistema, tentano di estorcere del denaro all’utente crittografando, provvedono a crittografare file e documenti personali rendendone impossibile la consultazione senza conoscere la chiave per decifrarli. I file dell'utente vengono insomma tenuti "in ostaggio" chiedendo una somma di denaro variabile (in questo caso tra 100 e 200 dollari) per il riscatto. Codificare documenti è un danno immenso per le società che devono lavorare con i propri dati. Pagare 300 dollari sarebbe molto più semplice che aspettare un decodificatore che arrivi da chissà dove…

Il trojan, una volta individuati i file da criptare, li codifica con un algoritmo proprietario e lascia un documento in formato txt riportando la seguente scritta:


Fortunatamente, i dati non sono stati codificati con l'algoritmo sopra illustrato, bensì con un algoritmo molto più semplice da decodificare. Inoltre le informazioni quali username e password vengono collezionate utilizzando tecniche simili a quelle utilizzate dai rootkit, cioè prendendo il controllo di alcune API di sistema (Application Programming InterfaceAPI ), e ricavandone i dati.

Anche questi dati vengono codificati attraverso un altro algoritmo e, questa volta, vengono inviati ad un server remoto, dove i malware writer possono tranquillamente scaricarli e decodificarli. Ho già parlato diverse volte degli attacchi a siti web che sono in costante crescita che hanno l'obbiettivo di inserire virus e malware per rubare dati agli utenti dei siti oppure di scontri e guerra online tra singole nazioni come Cina, Russia, Usa o la Nato. Ho anche  già scritto di virus che una volta installati sul pc lo riescono a bloccare interamente o alcune cartelle come quella "documenti" dove di solito si tengono files importanti e richiedono, poi, una password per sbloccare pc o directory. Ovviamente la password viene rilasciato dietro un riscatto, un pagamento. Un altro fenomeno del cyber-crimine che è attivato anche in Italia e ultimamente anche nella nostra regione.

 

Come avviene l’attacco nel dettaglio

Una volta eseguito il file, il trojan tenta di iniettarsi all’interno del file di sistema winlogon.exe.

Se l’attacco ha successo, da winlogon.exe il trojan tenta di iniettarsi in svchost.exe e poi negli altri processi. Per partire all'avvio di sistema, si aggiunge nella directory di sistema di Windows come ntos.exe (per esempio C:\WINDOWS\system32\ntos.exe) e si aggiunge nella seguente chiave di registro:HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon
“Userinit” = “[systemdir]\ntos.exe” Questo permette al malware di partire in posizione privilegiata all’avvio di sistema, prima rispetto a molti altri processi. Crea inoltre una directory nascosta sotto system32, chiamata wsnpoemche contiene video.dll e audio.dll.

Il trojan ha tre payload (un pacchetto, ad un frame o ad un'altra unità per la trasmissione dei dati.) : criptare i file sull’hard disk e poi minacciare, rubare credenziali dell’utente del pc, aprire un socks server.

Per criptare i dati il trojan scansiona l’hard disk alla ricerca dei file che hanno una delle seguenti estensioni:

.12m .3ds .3dx .4ge .4gl .7z .a .a86 .abc .acd .ace .act .ada .adi .aex .af3 .afd .ag4 .ai .aif .aifc .aiff .ain .aio .ais .akf .alv .amp .ans .ap .apa .apo .app .arc .arh .arj .arx .asc .asm .ask .au .bak .bas .bb .bcb .bcp .bdb .bh .bib .bpr .bsa .btr .bup .bwb .bz .bz2 .c .c86 .cac .cbl .cc .cdb .cdr .cgi .cmd .cnt .cob .col .cpp .cpt .crp .cru .csc .css .csv .ctx .cvs .cwb .cwk .cxe .cxx .cyp .d .db .db0 .db1 .db2 .db3 .db4 .dba .dbb .dbc .dbd .dbe .dbf .dbk .dbm .dbo .dbq .dbt .dbx .dfm .djvu .dic .dif .dm .dmd .doc .dok .dot .dox .dsc .dwg .dxf .dxr .eps .exp .f .fas .fax .fdb .fla .flb .frm .fm .fox .frm .frt .frx .fsl .gtd .gif .gz .gzip .h .ha .hh .hjt .hog .hpp .htm .html .htx .ice .icf .inc .ish .iso .jar .jad .java .jpg .jpeg .js .jsp .key .kwm .lst .lwp .lzh .lzs .lzw .ma .mak .man .maq .mar .mbx .mdb .mdf .mid .mo .myd .obj .old .p12 .pak .pas .pdf .pem .pfx .php .php3 .php4 .pgp .pkr .pl .pm3 .pm4 .pm5 .pm6 .png .ppt .pps .prf .prx .ps .psd .pst .pw .pwa .pwl .pwm .pwp .pxl .py .rar .res .rle .rmr .rnd .rtf .safe .sar .skr .sln .swf .sql .tar .tbb .tex .tga .tgz .tif .tiff .txt .vb .vp .wps .xcr .xls .xml .zip

Una volta trovati, codifica questi file con un algoritmo di codifica fortemente modificato che ricorda l’algoritmo RC4. Dopo che sono stati codificati, il trojan crea il file read_me.txt in ogni directory in cui ha criptato dei files. Nel readme c’è la scritta del ricatto.

Per rubare le informazioni, il trojan fa uso di tecniche simili a quelle utilizzate dai rootkit user mode, modificando l’Import Address Table. Una volta collezionate le credenziali, il trojan le salva all’interno di un file e le cripta prima di uploadarle su un server remoto. L’algoritmo usato è particolarmente semplice e fa uso di alcune semplici operazioni matematiche su ogni byte del file da criptare.

Al momento si provvede a cifrare, 143 differenti tipologie di file cancellando le versioni originali dal disco fisso, e suggerisce agli utenti vittime del malware di tentare si recuperare i propri documenti ricorrendo ad apposite utilità di ripristino dei dati.

Il primo consiglio - se dovesse accadervi - è quello di tentare il ripristino dei dati eliminati ad esempio con un nuovissimo prodotto PhotoRec, scaricabile  dal web.

 

Alessandro Sigismondi

Alessandro Sigismondi, è informatico, esperto e consulente in Computer Forensics e Network Forensics, docente in Sistemi Informatici e Sicurezza di Rete e consulente legale presso Tribunali e Procure italiane in materia di crimini informatici. Collabora come consulente presso Maxima Srloperando come Perito presso Tribunali e Procure italiane in qualità di esperto in Crimini Informatici partecipando ad indagini sia italiane che a livello europeo, analizzando i reati informatici in ogni loro aspetto sia come tecnico che approfondendo la materia del penale informatico. Collabora inoltre con l'Osservatorio internazionale Cards, iniziativa senza scopo di lucro che opera per accrescere e diffondere informazioni, formazione, comprensione e adozione dell’utilizzo della Smart Card e dei nuovi sistemi di pagamento.
Per contattare l'autore potete scrivere a  alsigismo|chiocciola|gmail.com