Una nuova forma di malware trovata in un recente incidente IT sembra essere stata ispirata da altri ceppi noti per raccogliere enormi ricompense finanziarie per i loro operatori, ma è probabilmente opera di dilettanti.
Soprannominato BlackByte e scoperto da Trustwave, il ransomware basato su Windows è considerato "strano" a causa di alcune decisioni di design e funzione prese dai suoi creatori.
In una serie di avvisi tecnici pubblicati la scorsa settimana ( 1 , 2 ), l'azienda di sicurezza informatica afferma che il malware prende di mira solo sistemi che non sono basati su lingue russe o dell'ex Unione Sovietica, una tendenza comune nei ransomware che si ritiene abbia origine russa.
BlackByte ha anche approfittato di quella che è diventata nota come doppia estorsione in questo spazio: non solo il malware crittografa e blocca i sistemi, ma le vittime si trovano anche di fronte alla minaccia di informazioni riservate trapelate o vendute online.
I moderni operatori di ransomware, tra cui Maze, ReEvil, Conti e Babuk, eseguono a questo scopo siti Web di perdite sul Dark Web. Anche BlackByte ha lanciato un sito Web, ma secondo i ricercatori, la minaccia di esfiltrazione e fuga di dati è infondata, poiché il ransomware non sembra avere questa funzionalità in primo luogo.
Di conseguenza, più vittime possono pagare dopo l'infezione, anche se non vi è alcun rischio effettivo che le informazioni diventino pubbliche.
Il processo di crittografia di BlackByte rivela anche che potrebbero essere all'opera agenti di minacce non qualificati. Il malware scarica ed esegue la stessa chiave per crittografare i file in AES, anziché chiavi univoche per ogni sessione, come quelle solitamente utilizzate da sofisticati operatori di ransomware.
Se la chiave non può essere scaricata dal suo server HTTP, nascosto in un file chiamato forest.PNG, il programma ransomware si blocca semplicemente. Una chiave RSA viene utilizzata una volta per crittografare la chiave "grezza" per mostrare una richiesta di riscatto.
"Per decrittografare un file, è sufficiente scaricare la chiave non elaborata dall'host", afferma Trustwave. "Finché il file .PNG che ha scaricato rimane lo stesso, possiamo usare la stessa chiave per decrittografare i file crittografati."
A parte questo strano processo di crittografia, il malware utilizza un launcher JavaScript progettato per decrittografare il payload principale della DLL .NET.
Il ransomware viene eseguito in memoria e viene assegnato un ID vittima utilizzando l'ID del processore del PC vulnerabile e il numero di serie del volume, che vengono quindi sottoposti ad hashing e sottoposti a ping al server di comando e controllo (C2) del malware. Qualsiasi processo che potrebbe impedire la crittografia dei file viene terminato e l'API SetThreadExecutionState viene utilizzata per impedire alla macchina di entrare in uno stato di sospensione.
Inoltre, le copie shadow del volume vengono cancellate, i punti di ripristino di Windows vengono eliminati e l'individuazione della rete è abilitata. BlackByte ha anche capacità simili a worm simili a quelle impiegate da Ryuk e cercherà di propagarsi attraverso le reti disponibili.
Trustwave ha reso disponibile per il download un decryptor BlackByte su GitHub .
Soprannominato BlackByte e scoperto da Trustwave, il ransomware basato su Windows è considerato "strano" a causa di alcune decisioni di design e funzione prese dai suoi creatori.
In una serie di avvisi tecnici pubblicati la scorsa settimana ( 1 , 2 ), l'azienda di sicurezza informatica afferma che il malware prende di mira solo sistemi che non sono basati su lingue russe o dell'ex Unione Sovietica, una tendenza comune nei ransomware che si ritiene abbia origine russa.
BlackByte ha anche approfittato di quella che è diventata nota come doppia estorsione in questo spazio: non solo il malware crittografa e blocca i sistemi, ma le vittime si trovano anche di fronte alla minaccia di informazioni riservate trapelate o vendute online.
I moderni operatori di ransomware, tra cui Maze, ReEvil, Conti e Babuk, eseguono a questo scopo siti Web di perdite sul Dark Web. Anche BlackByte ha lanciato un sito Web, ma secondo i ricercatori, la minaccia di esfiltrazione e fuga di dati è infondata, poiché il ransomware non sembra avere questa funzionalità in primo luogo.
Di conseguenza, più vittime possono pagare dopo l'infezione, anche se non vi è alcun rischio effettivo che le informazioni diventino pubbliche.
Il processo di crittografia di BlackByte rivela anche che potrebbero essere all'opera agenti di minacce non qualificati. Il malware scarica ed esegue la stessa chiave per crittografare i file in AES, anziché chiavi univoche per ogni sessione, come quelle solitamente utilizzate da sofisticati operatori di ransomware.
Se la chiave non può essere scaricata dal suo server HTTP, nascosto in un file chiamato forest.PNG, il programma ransomware si blocca semplicemente. Una chiave RSA viene utilizzata una volta per crittografare la chiave "grezza" per mostrare una richiesta di riscatto.
"Per decrittografare un file, è sufficiente scaricare la chiave non elaborata dall'host", afferma Trustwave. "Finché il file .PNG che ha scaricato rimane lo stesso, possiamo usare la stessa chiave per decrittografare i file crittografati."
A parte questo strano processo di crittografia, il malware utilizza un launcher JavaScript progettato per decrittografare il payload principale della DLL .NET.
Il ransomware viene eseguito in memoria e viene assegnato un ID vittima utilizzando l'ID del processore del PC vulnerabile e il numero di serie del volume, che vengono quindi sottoposti ad hashing e sottoposti a ping al server di comando e controllo (C2) del malware. Qualsiasi processo che potrebbe impedire la crittografia dei file viene terminato e l'API SetThreadExecutionState viene utilizzata per impedire alla macchina di entrare in uno stato di sospensione.
Inoltre, le copie shadow del volume vengono cancellate, i punti di ripristino di Windows vengono eliminati e l'individuazione della rete è abilitata. BlackByte ha anche capacità simili a worm simili a quelle impiegate da Ryuk e cercherà di propagarsi attraverso le reti disponibili.
Trustwave ha reso disponibile per il download un decryptor BlackByte su GitHub .
Commenti
Posta un commento