SICUREZZA: RansomEXX -Nuovo pericoloso ransomware che attacca anche i sistemi Linux

()
Di recente Kaspersky ha svelato di aver scovato una versione per Linux del famoso ransomware RansomEXX.
Si tratta di una notizia molto rilevante in quanto questo ransomware nasce per Windows ed ora è stato portato su Linux. Vediamo di fare chiarezza ,
vediamo di cosa si tratta e come funziona
Il Ransomware RansomEXX fa parte di una famiglia di ransomware che ha preso di mira più aziende dalla metà del 2020, in particolare sono stati rilevati
attacchi contro le reti del Governo Brasiliano e precedentemente contro il Dipartimento dei Trasporti del Texas, Konica Minolta, Tyler Technologies.
Come funziona RansomEXX e come difendersi  
A differenza degli altri ransomware ,RansomExx viene utilizzato per bloccare obiettivi di in certo spessore e che quindi hanno un interesse maggiore
riguardo i propri dati, tralasciando le workstation presenti all’interno della rete e puntando direttamente ai server che contengono i dati più importanti e
sensibili dell’azienda vittima.
RansomExx è gestito direttamente da chi “attacca” e viene utilizzato come un vero e proprio tool per crittografare i dati dei server vittima, nessun server
C&C, nessun sistema anti-analisi e nessuna altra implementazione accessoria o blocco dei processi in esecuzione.
Gli autori di questi attacchi si muovono inizialmente compromettendo la rete e seguendo un escalation fino ad arrivare ad ottenere le credenziali di
amministratore. Una volta acquisiti i diritti di amministratore, provvedono alla distribuzione del ransomware, crittografando tutti i dispositivi.
Non si tratta del classico malware che viene lanciato in modalità massiva, ogni vittima viene scelta accuratamente, ogni campione ritrovato di RansomExx
contiene: il nome dell’azienda vittima all’interno del proprio codice e sia l’estensione del file che l’indirizzo e-mail, fanno uso del nome della vittima.
Questo ransomware è molto aggressivo e pericoloso e non deve assolutamente esser sottovalutato , anche perchè a quanto pare al momento l’unica
soluzione che le aziende possono adottare per proteggersi dal ransomware RansomEXX per sistemi Linux, ma anche per la versione Windows, consiste
nell’evitare intrusioni dall’esterno rafforzando e proteggendo la sicurezza perimetrale, salvaguardando i dispositivi di rete applicando le dovute patch e
monitorando costantemente i dispositivi di gateway.

 

Il Trojan RansomEXX attacca i sistemi Linux

Di recente abbiamo scoperto un nuovo Trojan per la crittografia dei file creato come eseguibile ELF e destinato a crittografare i dati su macchine controllate da sistemi operativi basati su Linux.
Dopo l’analisi iniziale abbiamo notato somiglianze nel codice del Trojan, nel testo delle note di riscatto e nell’approccio generale all’estorsione, che suggerivano che avessimo in realtà incontrato una build Linux della famiglia di ransomware precedentemente nota RansomEXX. Questo malware è noto per attaccare grandi organizzazioni ed è stato più attivo all’inizio di quest’anno.
RansomEXX è un Trojan altamente mirato. Ogni campione del malware contiene un nome hardcoded dell’organizzazione vittima. Inoltre, sia l’estensione del file crittografato che l’indirizzo e-mail per contattare gli estorsori fanno uso del nome della vittima.
Diverse aziende sono state vittime di questo malware negli ultimi mesi, tra cui il Texas Department of Transportation (TxDOT) e Konica Minolta .
Descrizione tecnica
L’esempio in cui ci siamo imbattuti – aa1ddf0c8312349be614ff43e80a262f – è un eseguibile ELF a 64 bit. Il Trojan implementa il suo schema crittografico utilizzando le funzioni della libreria open source mbedtls.
All’avvio, il Trojan genera una chiave a 256 bit e la utilizza per crittografare tutti i file appartenenti alla vittima che può raggiungere utilizzando il cifrario a blocchi AES in modalità ECB. La chiave AES è crittografata da una chiave pubblica RSA-4096 incorporata nel corpo del Trojan e aggiunta a ciascun file crittografato.
Inoltre, il malware avvia un thread che rigenera e crittografa nuovamente la chiave AES ogni 0,18 secondi. Tuttavia, sulla base di un’analisi dell’implementazione, le chiavi in ​​realtà differiscono solo ogni secondo.
Oltre a crittografare i file e lasciare note di riscatto, il campione non ha nessuna delle funzionalità aggiuntive che altri autori di minacce tendono a utilizzare nei loro Trojan: nessuna comunicazione C&C, nessuna interruzione dei processi in esecuzione, nessun trucco anti-analisi, ecc.
Frammento dello pseudocodice della procedura di crittografia dei file; i nomi delle variabili e delle funzioni vengono salvati nelle informazioni di debug e devono corrispondere al codice sorgente originale
Curiosamente, il binario ELF contiene alcune informazioni di debug, inclusi nomi di funzioni, variabili globali e file di codice sorgente utilizzati dagli sviluppatori di malware.
Nomi originali dei file sorgente incorporati nel corpo del trojan
Registro di esecuzione del trojan in Kaspersky Linux Sandbox

Somiglianze con le versioni Windows di RansomEXX

Nonostante il fatto che le build PE precedentemente scoperte di RansomEXX utilizzino WinAPI (funzioni specifiche del sistema operativo Windows), l’organizzazione del codice del Trojan e il metodo di utilizzo di funzioni specifiche dalla libreria mbedtls suggeriscono che sia ELF che PE possono essere derivati ​​dalla stessa fonte codice.
Nello screenshot qui sotto, vediamo un confronto delle procedure che crittografano la chiave AES. A sinistra c’è l’esempio ELF aa1ddf0c8312349be614ff43e80a262f; sulla destra c’è il campione PE fcd21c6fca3b9378961aa1865bee7ecb utilizzato nell’attacco TxDOT.
Nonostante sia stato creato da diversi compilatori con diverse opzioni di ottimizzazione e per diverse piattaforme, la somiglianza è abbastanza ovvia.
Osserviamo anche somiglianze nella procedura che crittografa il contenuto del file e nel layout generale del codice.
Inoltre, anche il testo della richiesta di riscatto è praticamente lo stesso, con il nome della vittima nel titolo e una frase equivalente.

Parallelo con un recente attacco in Brasile

Come riportato dai media, una delle istituzioni governative del paese è stata appena attaccata da un Trojan ransomware mirato.

Sulla base della richiesta di riscatto, che è quasi identica a quella del campione che abbiamo descritto, e dell’articolo di notizie menzionato sopra, c’è un’alta probabilità che il bersaglio sia vittima di un’altra variante di RansomEXX.

Nota di riscatto dal campione aa1ddf0c8312349be614ff43e80a262f

Nota di riscatto dal post di Bleeping Computer sull’ultimo attacco in Brasile

I nostri prodotti proteggono da questa minaccia e la rilevano come Trojan-Ransom.Linux.Ransomexx
Kaspersky Threat Attribution Engine identifica la famiglia di malware Ransomexx
Indicatori di compromesso
Versione Linux recente: aa1ddf0c8312349be614ff43e80a262f
Versione Windows precedente: fcd21c6fca3b9378961aa1865bee7ecb
/ 5
Grazie per aver votato!

How useful was this post?

Click on a star to rate it!

Average rating / 5. Vote count:

No votes so far! Be the first to rate this post.

As you found this post useful...

Follow us on social media!

We are sorry that this post was not useful for you!

Let us improve this post!

Tell us how we can improve this post?