Gli aggressori a volte utilizzano il nome di società di sicurezza nel loro malware. Questa settimana, mentre stava effettuando una ricerca regolare su VirusTotal alla ricerca di malware interessanti e di nuove varianti di ransomware utilizzando le nostre regole di threat hunting, un analista di Sophos X-Ops ha scoperto un nuovo eseguibile di ransomware che pare utilizzare “Sophos” nell’interfaccia utente del pannello che avvisa che i file sono stati cifrati (mostrato sotto) e anche nell’estensione (“.sophos”) degli stessi.
I team dei SophosLabs hanno immediatamente indagato ed iniziato a lavorare allo sviluppo di una regola di rilevamento mirato per i prodotti di sicurezza endpoint Sophos, ma una regola comportamentale preesistente (unitamente a Sophos CryptoGuard) ha impedito al ransomware di causare danni nei test. Questa regola di rilevamento mirato è stata rilasciata come indicato nella sezione “Rilevamenti”.
L’eseguibile del ransomware stesso, compilato con MinGW e contenente librerie Rust collegate, è insolitamente antiquato in riferimento alle funzionalità che sembra possedere. Nella maggior parte degli incidenti di ransomware contemporanei, gli aggressori che costruiscono il ransomware creano uno strumento che ha come scopo esplicito ed esclusivo la crittografia dei file, senza includere molte altre funzionalità. La maggior parte dei ransomware con cui abbiamo a che fare oggi è un eseguibile a scopo singolo che non offre molte, se non nessuna, funzionalità aggiuntiva.
A quanto pare i registri di VirusTotal su questi file sembrano indicare, e la nostra analisi lo conferma, che uno dei campioni ha la capacità di fare molte cose oltre alla crittografia dei file, la qual cosa è insolita. Il ransomware pare inoltre enfatizzare i metodi di comunicazione tra l’obiettivo e l’aggressore che la maggior parte dei gruppi di ransomware non utilizza più: e-mail e la piattaforma di messaggistica istantanea Jabber.
In effetti, le capacità di uno di questi file si avvicinano di più a quelle di un trojan di accesso remoto (RAT) generico, in grado di crittografare i file e generare queste note di riscatto, rispetto a quelle di un eseguibile ransomware contemporaneo. Tali capacità includono l’aggancio del driver della tastiera per la registrazione dei tasti e la profilazione del sistema tramite comandi WMI. Come molti altri ransomware esclude un elenco di directory che impedirebbero l’avvio del sistema o che contengono file non importanti se venissero crittografati. Il ransomware controlla anche le impostazioni della lingua del sistema e si rifiuta di eseguire nel caso sia impostato per utilizzare la lingua russa.
L’altro campione noto presenta un numero minore di queste funzionalità non ransomware. Tuttavia, entrambi si connettono via Internet ad un indirizzo di server di comando e controllo. La connessione fa riferimento a un indirizzo del dark web Tor (.onion), ma i campioni di ransomware che abbiamo analizzato non effettuano effettivamente una connessione Tor.
Inoltre, entrambi i campioni contengono un indirizzo IP codificato (a cui abbiamo visto connettersi i campioni). L’indirizzo è stato associato per più di un anno sia agli attacchi Cobalt Strike command-and-control, sia a quelli automatizzati che tentano di infettare i computer connessi a Internet con software di cryptomining.
Applicazione ransomware di console
Entrambi i campioni sono destinati ad essere eseguiti nella riga di comando di Windows. Quando viene eseguito nell’applicazione del prompt dei comandi di Windows, il ransomware chiede all’utente (“utente” in questo caso significa il criminale che sta distribuendo il ransomware, non il proprietario del computer) di inserire una serie di informazioni che configurano il suo comportamento e il contenuto della nota di riscatto che alla fine rilascia.
Il programma chiede alla persona che lo esegue di inserire una “password criptata (32 caratteri)” seguita da un “token”, un indirizzo e-mail ed un indirizzo di account di messaggistica istantanea Jabber. Dopo aver inserito queste informazioni, il programma chiede all’utente di selezionare un’opzione per (1) crittografare tutti i file sul disco rigido, (2) di crittografare una singola lettera di unità, oppure (3) di uscire dal programma.
Se l’utente sceglie l’opzione “singolo” o “tutti”, quando il ransomware completa l’operazione di crittografia, rinomina i file cifrati utilizzando il valore “token” nel nome del file rinominato. L’indirizzo e-mail e l’indirizzo Jabber vengono aggiunti alla nota di riscatto, che è un’applicazione HTML (file .hta) scaricata in qualsiasi directory in cui è avvenuta la crittografia.
Il file .hta visualizza semplicemente la nota di riscatto, personalizzata con l’indirizzo e-mail e altre informazioni fornite dall’aggressore all’inizio dell’attacco.
Il file .hta contiene le informazioni sull’e-mail e sull’ID jabber incorporati.
Il ransomware aggiunge a ogni file che codifica alla fine del processo un identificativo univoco della macchina, l’indirizzo e-mail inserito durante l’installazione e il suffisso “.sophos”.
Se il processo di cifratura viene interrotto prima del suo completamento, il ransomware non lascia una nota di riscatto e neppure cambia l’immagine dello sfondo con quella ottenuta dal server di immagini pubbliche.
Il ransomware recupera anche una grafica da un sito web di libreria di immagini pubbliche e la utilizza per cambiare lo sfondo del desktop di Windows in una schermata con la scritta “Sophos”. È degno di nota il fatto che l’immagine non riproduca i loghi, i colori o il marchio di Sophos, ma presenti invece il logo di un lucchetto verde e le istruzioni su come l’obiettivo possa trovare e utilizzare la nota di riscatto per contattare gli aggressori.
L’icona del file del ransomware sembra corrispondere a quella del lucchetto utilizzato nella grafica dello sfondo mostrata in testa all’articolo.
Quando viene eseguito nella console, il ransomware produce un lungo elenco di ciò che sembra essere una registrazione di debug, riportando il tempo impiegato, espresso in millisecondi, per cifrare ogni file trovato,
I test del ransomware hanno anche rivelato che esso tenta di convalidare l’autorizzazione dell’utente e di servirsene quando viene eseguito su un computer connesso a Internet. Nei nostri test, il ransomware è stato in grado di eseguire operazioni di cifratura anche quando è stato eseguito su un computer non connesso a Internet.
Ransomware che controlla la propria conformità
Le schede delle proprietà degli eseguibili del ransomware indicano trattarsi rispettivamente delle versioni 0.0.8 e 0.0.9 del programma. Nessuno dei due eseguibili è firmato, ed entrambi richiedono l’elevazione tramite UAC quando vengono avviati.
Il comportamento iniziale del ransomware prevede che l’utente (di seguito “utente” significa criminale) inserisca un “token”. Il ransomware esegue una piccola profilazione del sistema del computer, recupera l’indirizzo IP pubblico della rete dell’obiettivo ed esegue una richiesta HTTP POST all’indirizzo IP 179.43.154.137 sulla porta 21119/tcp che trasmette il token e le informazioni di profilazione del computer. La sessione non è criptata.
Se il valore del “token” non è accettabile per il server, l’applicazione visualizza nella console il messaggio di errore “Il token non è valido!”, e si chiude. Tuttavia, se il ransomware viene eseguito su un computer offline scollegato da Internet, il programma visualizza “Uso locale del software” e procede al funzionamento, richiedendo all’utente di inserire una password di 32 byte, le informazioni di contatto che vengono incorporate nella nota di riscatto e aggiunte a ciascun nome di file, e poi procede alla crittografia.
Rilevamento
I prodotti Sophos Intercept X bloccano l’esecuzione e i comportamenti dannosi di questo ransomware utilizzando le seguenti firme:
- CryptoGuard – Blocca proattivamente i tentativi di cifratura del ransomware in fase di esecuzione sulla base del motore, rilasciato a maggio 2017.
- Impact_6a – Rilevamento comportamentale in runtime che blocca l’attività dannosa in fase di impatto, pubblicato a ottobre 2020.
- Troj/Ransom-GXS – rilevamento antimalware pre-esecuzione del file dannoso, pubblicato il 18 luglio 2023.
- Mal/Generic-R – rilevamento della reputazione che impedisce l’esecuzione del malware, pubblicato il 17 luglio 2023.
- Rilevamento basato sulla reputazione per l’IP C2 – Blocca l’accesso a 179.43.154.137, il C2 associato al malware, pubblicato il 18 luglio 2023.
Questi campioni sono stati osservati solo in un repository pubblico di malware, ma non sono stati visti in uso da un attaccante. Sophos continuerà a monitorare l’uso di questo ransomware in natura.
Sophos ha pubblicato un articolo della Knowledge Base dedicato a questo ransomware. X-Ops ha pubblicato degli IOC relativi a questo malware su SophosLabs Github.
Ringraziamenti
Sophos X-Ops desidera ringraziare Yusuf Arsan Polat, Anand Ajjan e Ronny Tijink per la loro assistenza nell’identificazione e nell’analisi dei campioni. SophosLabs ringrazia anche @malwrhunterteam per averci segnalato questo problema.
Lascia un commento