Fabiansomware: quando gli hacker perdono la testa

blog_main_apocalypse

I reati informatici sono esistiti fin dalla creazione di Internet. Il 2016 è stato senza dubbio l’anno dei ransomware. Ogni settimana nuove famiglie di ransomware vengono diffuse ed il laboratorio Emsisoft combatte ogni giorno in prima linea contro queste infezioni.

Il risultato di questo lavoro è che il nostro laboratorio riceve tutta la rabbia dei creatori dei ransomware. Questo è il caso di qualche mese fa, quando i nostri tecnici sono riusciti ad entrare nel codice amatoriale di una famiglia ransomware chiamata Apocalypse. Recentemente l’odio è diventato molto più personale e focalizzato contro Fabian, il nostro direttore tecnico e responsabile del laboratorio Emsisoft. Commenti e note volgari sono state inserite direttamente nel codice Apocalypse. Da qualche tempo hanno rinominato il malware ‘Fabiansomware’ in suo onore.

slack-imgs-2-com

 Perchè veniamo presi di mira?

Online, Fabian è un ricercatore malware che condivide i propri tool per decriptare i file criptati dai Ransomware. Ad Emsisoft è il capo del nostro laboratorio. Investiga sulle nuove minacce, sviluppa (ed adatta) le tecnologie di protezione e si assicura che tutti i nostri utenti siano protetti dalle minacce future ed attualmente in circolazione.

Perchè sta diventando così personale

Nel giugno 2016 abbiamo rilasciato un articolo dopo che il nostro laboratorio è riuscito ad entrare nel codice di tre varianti di Apocalypse e dopo aver condiviso gratuitamente con tutte le vittime di Apocalypse un tool per la decriptazione dei file criptati. Da quel momento ad oggi, il laboratorio è riuscito a rompere il codice di 6 nuove varianti.

slack-imgs-com

Ogni giorno i creatori di malware cambiano il loro codice per essere un passo avanti al nostro laboratorio ed altri ricercatori indipendenti. Ogni volta impieghiamo un’ora o due per rompere il codice delle nuove varianti, e gli insulti continuano.

Gli insulti stanno diventando così offensivi che preferiamo non condividerli, ma possono essere visualizzati sull’account twitter di Fabian.

I creatori di Apocalypse hanno talmente perso la testa che in una nuova variante l’email di contatto che è stata inserita è la seguente: [email protected]

Essenzialmente la loro idea è quella di dare la colpa a Fabian. Potrete visualizzare una conversazione tra Fabian ed una delle migliaia di vittime infelici.

Un po’ di info su Apocalypse

Il ransomware Apocalypse è stato scoperto il 9 Maggio 2016. Il principale vettore di diffusione è dovuto all’utilizzo di password deboli o di Windows server configurati senza protezioni utilizzando servizi desktop remoti. Questo ha permesso tramite la tecnica della forza bruta ad accedere via remoto ai computer ed interagendo come se fossero presenti di persona. L’utilizzo dell’accesso remoto è diventato lo strumento principale negli ultimi mesi, soprattutto per l’esecuzione dei ransomware come Apocalypse.

Una delle prime varianti si installava in %appdata%\windowsupdate.exe e creava una chiave chiamata windows update sia in HKEY_CURRENT_USER che in HKEY_LOCAL_MACHINE. Questa variante utilizzava l’estensione .encrypted. Una nota veniva creata per ogni file criptato *filename*.How_To_Decrypt.txt. Queste erano le email inserite nelle note [email protected]/[email protected]/[email protected]/[email protected].

Il 9 Giugno un’altra versione di Apocalypse veniva scoperta. Questa variante utilizzava un percorso differente, un a chiave con nome differente e nuovi indirizzi email. La variante si installava in %ProgramFiles%\windowsupdate.exe, e creava una chiave di registro chiamata windows update svc. L’email utilizzata in questo caso era: [email protected].

Il 22 Giugno viene scoperta la variante più recente, in questa vengono modificate molte più cose. Invece di utilizzare il nome windowsupdate, utilizza il nome di firefox. La nuova versione si installa in %ProgramFiles%\firefox.exe, e crea una chiave di registro chiamata firefox update checker. La nuova versione utilizza l’estensione “.SecureCrypted” e le note sono chiamate *filename*.Contact_Here_To_Recover_Your_Files.txt. L’indirizzo email utilizzato è [email protected].

Il nostro laboratorio continua a scoprire e rompere il codice di nuove versioni.

slack-imgs-1-com

Cosa puoi fare

La prima linea di difesa è l’utilizzo di una password sicura per tutti gli account del tuo sistema. Questo consiglio si applica anche agli account che usi raramente od account test od applicazioni.

Apocalypse ed altre famiglie si diffondono tramite il Remote Desktop Protocol (RDP). Se hai una piccola o grande azienda, assicurati che il tuo RDP e le porte del controllo remoto siano chiuse.

Ancor meglio sarebbe quello di disabilitare completamente Remote Desktop o Terminal Services se non richiesto, o di utilizzare almeno un indirizzo IP basato su restrizioni per consentire l’accesso solo ai servizi di network fidati.

Senan Conrad

What to read next