Ransomware: IKARUSdilapidated sfugge agli antivirus e attacca le aziende


Un nuovo attacco ransomware noto come IKARUSdilapidated, probabilmente derivato da Locky ,sfugge all’identificazione di alcuni antivirus grazie a una collaborazione con Dridex.

All’inizio di agosto è partita una nuova campagna di ransomware che ha visto protagonista una variante del temuto ransomware Locky, nota come IKARUSdilapidated, condotta con il metodo che è ormai un classico.

Secondo quanto riportato da Tom Spring su uno dei blog di Kaspersky Lab, uno studio effettuato dai ricercatori di Comodo Threat Intelligence Lab ha rivelato che dal 9 di agosto, fino al 12 dello stesso mese, una botnet si è occupata di inviare a oltre 60.000 indirizzi una mail con un testo molto stringato e un allegato.

Quest’ultimo ha un’estensione variabile (può essere un .doc, un .vbs, un .tiff o altro) e un nome abbastanza criptico che riporta una E seguita dalla data in notazione inversa anglosassone e un numero a tre cifre (che cambia anche lui da una mail all’altra) tra parentesi.

IKARUSdilapidated

Se il destinatario lancia il file, si troverà davanti a un file di word pieno di caratteri incomprensibili e un avviso che sprona l’utente ad attivare le macro se la decodifica del file dovesse essere errata.

Chi cade nella trappola, forse evidente per un esperto ma sicuramente ben congegnata per colpire utenti medi, permette a uno script di scaricare il ransomware vero e proprio, che ha la particolarità di essere particolarmente sfuggente ed efficace. A quanto pare, infatti, il file del ransomware viene classificato come file sconosciuto dalla maggior parte degli antivirus e se il programma di protezione non è impostato per bloccare tutti i file non classificati, viene scaricato senza problemi.

Fin qui, non c’è niente di nuovo, ma la vera particolarità consiste nel fatto che grazie a una sorta di collaborazione con gli autori di Dridex, trojan famigerato per la sua capacità di nascondere le proprie spoglie agli strumenti di analisi in sandbox, IKARUSdilapidated riesce a passare indenne tra le maglie di alcuni motori (non ancora meglio specificati) di analisi comportamentale e codice.

In altre parole, abbiamo un ransomware ninja che usa gli algoritmi RSA-2048 e AES-128 per codificare i nostri file con un nome particolarmente trendy scelto perché i ricercatori che hanno analizzato il malware sono rimasti incuriositi da questa stringa (IKARUSdilapidated) contenuta nei binari della nuova versione di Locky.

Con il già tristemente noto ransomware, questo nuovo malware condivide molte similitudini già a partire dal nome che dà ai file criptati, modificandolo in una sequenza univoca di 16 caratteri composta da lettere e numeri seguiti dall’estensione .locky.

Si spera che questa variante non riesca a replicare le prestazioni del suo progenitore che vanta, secondo una ricerca di Google, ben 7,8 milioni di dollari di profitti dal momento del debutto.

Di sicuro, le richieste economiche sono tutt’altro che abbordabili. Dopo aver criptato i file, infatti, IKARUSdilapidated visualizza un messaggio nel quale richiede un ammontare compreso tra il mezzo il bitcoin intero (la cui quotazione sta oggi sfiorando i 4000 dollari).

Analizzando un campione delle 62.000 email collegate a questa campagna, si è visto come molti indirizzi IP appartengano a provider di connettività Internet, corroborando la tesi che per la diffusione sia stata usata una botnet di ignari utenti infetti diffusi praticamente in tutto il mondo.



Articoli correlati

Altro in questa categoria


Shadowpad è una Backdoor in Xmanager, Xshell, Xftp e Xlpd: aggiornare subito!


Kaspersky Lab ha identificato Shadowpad, una backdoor nascosta in alcuni software della società Netsarang tramite la compromissione del loro sistema di aggiornamento.

Ha fatto molto scalpore, qualche tempo fa, il modo in cui NotPetya è stato distribuito a una serie di aziende, ma quella di sfruttare gli aggiornamenti per infettare software leciti è una tecnica usata da molti anni dai criminali informatici e Kaspersky ha appena scovato una nuova campagna che prendeva di mira aziende di medie e grandi dimensioni.

La campagna d’attacco Shadowpad consisteva nell’infiltrare, tramite un aggiornamento “lecito”, una backdoor nei programmi Xmanager, Xshell, Xftp e Xlpd prodotti dalla società Netsarang.Shadowpad attacca le aziende

Questi software di amministrazione sono attualmente usati in molte aziende attive nei settori della finanza, dell’istruzione, delle telecomunicazioni, della produzione industriale, dell’energia e dei trasporti.

L’aggiornamento incriminato, nei quali i malintenzionati sono stati in grado di inoculare il modulo malevolo, è del 18 luglio e al momento sembra che il software sia stato attivato solo in un’azienda di Hong Kong, mentre le altre installazioni sono rimaste “dormienti”.

Il modulo base di Shadowpad, infatti, si limita a inviare a intervalli di otto ore una serie di informazioni di base  sui sistemi colpiti (dominio, dati sull’hardware e sulla rete) a un server di comando e controllo. I criminali deciderebbero poi, in base a quanto raccolto, quali sono i target potenzialmente interessanti, attivando su di questi il download di altri moduli che permettono di prendere il controllo totale del sistema infetto.

La scoperta del malware è avvenuta grazie a un software di analisi del traffico di rete interno che ha sollevato un alert relativo alle richieste DNS che il modulo malevolo inviava ciclicamente all’esterno.

I sistemisti del sistema colpito si sono insospettiti e hanno chiesto supporto a Kaspersky Lab che, dopo aver chiesto lumi al produttore sugli strani contatti all’esterno, ha attivato il suo team di analisi (Great) e scoperto “l’intruso”.

Quando abbiamo visto in questa campagna risolleva l’importanza di avere una struttura di sicurezza a più livelli che possa far fronte a casi in cui la compromissione arrivi da fonti insospettabili. La celerità con cui la campagna Shadowpad è stata scoperta ha giocato un ruolo essenziale nel limitare i danni causati.

Chi avesse uno o più dei software di Netsarang installati in azienda dovrebbe aggiornare appena possibile e verificare che il primo modulo non abbia già attivato ulteriori malware.

Sul blog Securelist si trova un approfondimento sul malware dal quale risulta che l’ipotesi attualmente più probabile sull’origine di Shadowpad è quella che sia stato prodotto da uno dei gruppi cinesi specializzati in cyberspionaggio.

Alcune similitudini nel codice del modulo, infatti, richiamano qualcosa di già visto in altri malware creati dai gruppi PlugX e Winnti, ma il ricercatore specifica che le congruenze sono comunque piuttosto limitate e non danno certezze sull’attribuzione.



Articoli correlati

Altro in questa categoria


Microsoft teme il garante europeo e aggiusta il tiro su win 10


Qualche mese fa, Eugene Kaspersky aveva accusato Microsoft di limitare in maniera illegale l’operatività degli antivirus di terze parti, denunciando il produttore la casa americana al garante europeo per la concorrenza. Microsoft ha deciso di tornare sui suoi passi per evitare problemi.

L’anno scorso, Kaspersky ha denunciato Microsoft all’Antitrust europea e a quella tedesca per delle presunte irregolarità nella gestione degli antivirus di terze parti.

Eugene Kaspersky

Leggendo l’articolo che abbiamo scritto a suo tempo, appare difficile dar torto al produttore russo, in quanto le politiche attivate tramite alcuni aggiornamenti di Windows 10 sembravano davvero mirare a far di tutto per convincere gli utenti a usare Windows Defender invece di altri antivirus.

Riassumendo, i punti essenziali del malcontento di Kaspersky erano:

  • Il fatto che Microsoft concedesse solo 7 giorni ai produttori di antivirus per testare i loro prodotti sulle nuove release di Windows (questo causava spesso la comparsa, più o meno giustificata, di una finestra di allerta nel quale il SO informava l’utente di una possibile incompatibilità con l’antivirus e consigliava di disabilitarlo per passare a Defender).
  • Le notifiche che informavano gli utenti della prossima scadenza della licenza dell’antivirus era stata relegata in un’area dedicata che gli utenti consultano molto di rado. Ovviamente, se un utente non si accorgeva della scadenza e non rinnovava in tempo, Windows abilitava automaticamente Defender, senza chiedere il permesso né dare informazioni di un certo conto.
  • Le notifiche di avviso di scadenza potevano essere ignorate, scomparendo per sempre se non cliccate subito.

Nell’articolo completo pubblicato a novembre, e linkato in alto, troverete altre chicche che erano, comunque, meno gravi anche se davvero fastidiose.

Dopo solo 8 mesi e mezzo da queste denunce, Microsoft ha deciso di evitare ulteriori problemi con l’antitrust europea, che già la guardava male per altre vicende, e ha pianificato una serie di cambiamenti in arrivo con l’aggiornamento autunnale di Windows 10. In particolare:

  • Verrà garantito un lasso di tempo maggiore ai produttori di antivirus per testare i loro prodotti sulle nuove versioni di Windows.
  • I produttori di antivirus potranno usare le loro finestre di notifica come meglio preferiscono invece di esser relegati in zone poco battute dagli utenti
  • Le notifiche di scadenza non spariranno automaticamente se ignorate ma richiederanno un’azione da parte dell’utente.

Questi cambiamenti saranno affiancati anche da una migliore gestione delle politiche di privacy con Windows10 con Microsoft che ha pubblicato, finalmente, una lista dei dati raccolti dal sistema operativo e degli usi che ne vengono fatti.

Un plauso a Kaspersky per essersi fatta promotrice di questa iniziativa che, evidentemente, ha sortito il suo effetto. Il produttore russo ha dichiarato che ritirerà ogni esposto presentato con la casa americana in quanto pienamente soddisfatta dai cambiamenti annunciati.



Articoli correlati

Altro in questa categoria


Il Trono di Spade Leak: online i numeri di telefono delle star


I criminali che hanno saccheggiato i PC della casa di produzione video famosa per la serie “Il Trono di Spade” stanno rilasciando materiale sempre più scottante per forzare HBO a pagare un riscatto milionario.

Gli attacchi informatici che scaturiscono in tentativi di estorsione ai danni delle aziende coinvolte non sono una novità, ma il caso che vede come vittima HBO rischia di diventare esemplare.

Nei giorni passati, infatti, è diventata di pubblico dominio una violazione occorsa ai sistemi interni del produttore di serie TV grazie alla quale dei criminali informatici hanno messo le mani su 1.5TB di dati.

In questa notevole massa di dati, è inclusa la corrispondenza di uno dei top manager, all’interno della quale si trova veramente di tutto, inclusa una quantità imbarazzante di informazioni altamente sensibili sia dal punto di vista degli affari sia dal punto di vista della privacy delle persone che lavorano con HBO.

HBO Under Attack

Purtroppo, gli hacker che sono in possesso dei dati si stanno dimostrando del tipo più becero, di quelli che non si fanno scrupoli a usare quanto hanno carpito per estorcere una quantità consistente di denaro.

In particolar modo, The Guardian svela in un suo articolo che, in un video di cinque minuti indirizzato al CEO di HBO Richard Plepler, un tale “Mr. Smith” chiede un riscatto da sei milioni di dollari per non rilasciare quanto sottratto.

La minaccia di quanto accadrebbe in caso il riscatto non venisse pagato è tutt’altro che velata. Stando a quanto Graham Cluley di ESET scrive sul blog dell’azienda, nel messaggio bianco che scorre su sfondo nero si legge: “Le fughe di informazioni saranno il vostro incubo peggiore; i vostri concorrenti sapranno dei vostri piani correnti e futuri, lo staff di alto livello di HBO sarà gettato nel caos, i vostri fan inizieranno a odiarvi (invece di odiare noi, come sperate), le azioni della società inizieranno a scendere e così via. Dal momento che siete sul mercato da decenni, sarete sicuramente consci delle implicazioni catastrofiche… Quindi fate una scelta saggia!”

A parte lo stile di scrittura non proprio degno di un romanziere, è chiaro che si tratta di gente poco interessata a contrattare e per dimostrarlo hanno rilasciato 3.4GB di dati per dimostrare la veridicità delle loro parole.

All’interno si trovano estratti di 5 script delle future puntate de Il Trono di Spade, informazioni sulla struttura della rete informatica interna di HBO e un mese di posta prelevato dall’account del vice presidente in carica per la programmazione dei film, Leslie Cohen.

Molti dei documenti rilasciati erano classificati come “confidenziali” e vi si trovano lettere di incarico destinate a vari manager, delle schermate che mostrano informazioni sui futuri sviluppi tecnologici in azienda, un foglio che riporta diverse informazioni su azioni legali mosse al network televisivo e ben 37.977 email catalogate come “Richard’s Contact list”, dove è possibile che “quel Richard” sia Plepler.

Un documento in particolare, sembra contenere la lista del cast de Il Trono di Spade completa di numeri di telefono e email inclusi quelli di Peter Dinklage, Lena Headey and Emilia Clarke.

Fino a dove si può spingere, quindi, una richiesta di riscatto informatico come questa? Chi garantisce a HBO che una volta pagato quanto richiesto, il materiale non venga comunque diffuso o, peggio, usato ancora per altre richieste?
Le risposte a queste domande le giriamo a qualche esperto che non è ancora in vacanza per un commento nei prossimi giorni, ma un’idea a riguardo credo che l’abbiamo tutti…



Articoli correlati

Altro in questa categoria


Un attacco alle centrali solari può abbattere le reti energetiche


Le vulnerabilità potrebbero provocare un “effetto domino” in grado di mettere K.O. le centrali energetiche di un intero paese.

Le energie rinnovabili possono rappresentare il futuro del nostro pianeta. A oggi, però, possono anche rappresentare un pericoloso “anello debole” che potrebbe mettere a rischio la tenuta dei sistemi energetici a livello nazionale o addirittura continentale.

A spiegarlo è un rapporto redatto da Willem Westerhof, un ricercatore di sicurezza che ha riassunto i suoi timori in una ricerca chiamata “The Horus Scenario”.

In sintesi, il suo timore può essere riassunto in un cyber-attacco che sarebbe in grado di abbattere i sistemi energetici europei prendendo di mira alcuni particolari dispositivi.

L’anelo debole è rappresentato dagli impianti di SMA, uno dei maggiori produttori del settore. Secondo il ricercatore, gli impianti in questione soffrirebbero di una  serie di falle di sicurezza (per l’esattezza 14) che li renderebbero vulnerabili a un attacco in remoto che consentirebbe di controllare il flusso di energia prodotta o di “abbatterli” completamente.

attacco centrali solari

Siamo tutti felici del fatto che le energie rinnovabili stiano prendendo piede in Europa. Il lato negativo? Un pirata informatico potrebbe provocare un black-out.

Le vulnerabilità individuate sono le seguenti:

Si tratta di falle di sicurezza di una certa rilevanza, che fanno leva per esempio sulla possibilità di stabilire connessioni Telnet (sigh) o sfruttare le credenziali predefinite per accedere ai sistemi o provocare dei crash in grado di mettere fuori uso gli impianti.

Le conseguenze di un sovraccarico provocato attraverso un attacco informatico risulterebbe in un collasso dell’intero sistema secondo un “effetto a catena” che porterebbe, in buona sostanza, al blocco dell’intero sistema energetico e a una raffica di black out in tutta Europa.

Per ottenere questo risultato, un pirata informatico dovrebbe però riuscire a compromettere un discreto numero di dispositivi. Il malfunzionamento di un singolo impianto, infatti, non consente di mettere in crisi il sistema.

Secondo o calcoli statistici fatti da Westerhof, lo scenario non è però così improbabile. Nel caso della Germania, per esempio, in particolari momenti la quantità di energia fornita dai sistemi fotovoltaici arriva a rappresentare tra il 35 e il 50% del totale.

Un attacco che mettesse K.O. gli impianti avrebbe quindi la “massa critica” necessaria per provocare un collasso a livello nazionale. Visto che in Europa il rifornimento di energia è collegato tra vari paesi, l’effetto domino si verificherebbe quasi immancabilmente.

Westerhof prende come esempio il caso di un’eclissi solare avvenuta nel 2015, che in Germania è stata compensata attraverso altre fonti energetiche per evitare il collasso del sistema. Il punto è che l’eclissi si è verificata in un periodo di tempo di 2-3 ore, mentre nel caso di un attacco informatico si parlerebbe di minuti.



Articoli correlati

Altro in questa categoria


Auto senza conducente vulnerabili ad attacchi con… gli adesivi


Una ricerca mostra come sia possibile ingannare il sistema di riconoscimento dei cartelli stradali. Ora bisogna trovare i rimedi…

L’intelligenza artificiale starà anche facendo enormi progressi, ma ci sono dei suoi limiti intrinseci che continuano a sollevare (grosse) perplessità. Uno di questi riguarda le modalità con cui giunge a interpretare la realtà, troppo diverse da quelle “umane”.

Per capire la portata del problema basta dare un’occhiata a una ricerca pubblicata da un gruppo di otto ricercatori che hanno preso di mira i sistemi di riconoscimento dei segnali stradali usati dalle auto senza conducente.

La loro tesi, ampiamente confermata dalle prove sul campo, è che sia possibile ingannarli apportando delle modifiche ai segnali stradali che per un essere umano rimangono impercettibili o comunque trascurabili. Insomma: sarebbe possibile mettere a rischio la sicurezza dell’auto senza conducente senza che nessun umano sia in grado di accorgersi preventivamente del “sabotaggio”.

Il concetto di base, spiegato nel dettaglio all’interno della ricerca, è quello di creare un disturbo che faccia male interpretare il segnale e, nel caso specifico, i ricercatori si sono dati da fare per fare in modo che un cartello venga letto come qualcos’altro.

Per farlo hanno utilizzato due stratagemmi diversi: introdurre un disturbo diffuso su tutta la superficie del cartello, stampare un poster con le stesse dimensioni e forma del segnale o inserire delle alterazioni più visibili in punti specifici utilizzando adesivi o graffiti. I risultati sono stati decisamente sorprendenti.

auto senza conducente adesiviNel caso del primo cartello, ottenuto attraverso la stampa di un poster in cui è inserito un disturbo, il sistema di riconoscimento automatico scambia il segnale per un limite di velocità a 45 miglia orarie nel 100% dei casi. Questo significa che un’auto senza conducente, arrivando allo stop, taglierebbe dritto l’incrocio.

auto senza conducente adesiviAnche nel caso di un’alterazione più “mirata”, come quella nelle immagini qui sopra, la percentuale in cui il sistema di riconoscimento viene ingannato è elevatissima: 66,7% nel caso della scritta “LOVE HATE” e 100% nel caso dei rettangoli bianchi e neri incollati sul segnale.

auto senza conducente adesivi

I ricercatori poi hanno provato anche a inserire un disturbo di tipo ottico (che crea una sorta di riflesso) a un segnale di obbligo di svolta a destra. Il risultato è altrettanto inquietante: nel 66,7% dei casi il sistema di riconoscimento scambia il cartello per qualcos’altro (nella maggior parte dei casi per un cartello di STOP) a seconda della distanza e dell’angolo di visuale.

Naturalmente non si tratta di disturbi “casuali”, ma di alterazioni studiate al computer attraverso un’analisi accurata dei sistemi di riconoscimento e che richiedono una certa precisione per essere apportate. Insomma: non basta il primo vandalo di passaggio per mettere in crisi un’auto senza conducente. Il problema, però, rimane sul tavolo e non è un problema da poco.



Articoli correlati

Altro in questa categoria