Dalla darknet con amore: ti presentiamo il ransomware Spora

Dalla darknet con amore: ti presentiamo il ransomware Spora

I ransomware sono una tipologia di minaccia in continua crescita con il rilascio di nuove famiglie ogni settimana. I ricercatori Emsisoft sono costantemente alla ricerca e all’analisi di nuove varianti e tipologie. Scoperto oggi da ID-Ransomware, ha incuriosito la nostra attenzione grazie a due nuove impostazioni che raggiungono un livello professionale totalmente nuovo. Non solo ti mostreremo il funzionamento di Spora, ma anche il suo modello commerciale e ti insegneremo come proteggerti da questa tipologia di ransomware.

Scopriamo Spora

Spora è scritto in C ed utilizza il pacchetto eseguibile UPX. A differenza di altre famiglie ransomware, Spora non rinomina i file criptati, perciò non c’è un’estensione specifica per questo ransomware. Una volta che il sistema è stato infettato, lascia una nota HTML ed un file .KEY. Il nome di entrambi i file è uguale all’ID dell’utente che Spora assegna ad ogni utente. La nota del ransomware è scritta in russo:

Se clicchi sul grande pulsante con il tuo ID sarai in grado di aprire il loro sito:

Un paio di cose hanno colto la nostra attenzione: in primo luogo, la presentazione e l’interfaccia sono abbastanza professionali, quasi belle da vedere. In secondo luogo, a differenza degli altri, il ransomware chiede una somma minore per sbloccare i tuoi dati. Spiegheremo dopo perchè, ma è interessante vedere la disponibilità di diversi “pacchetti” messi a disposizione. Puoi scegliere di ripristinare i tuoi file o rimuovere il ransomware ed immunizzare il sistema per futuri attacchi, pagando una somma extra. Questo è qualcosa che rende unico Spora, in quanto non abbiamo visto niente di simile prima. Il sito offre anche la funzione di poter comunicare direttamente con i criminali che, anche se non unico nel suo genere, è abbastanza raro. Da quello che abbiamo notato fino ad ora, sembra che i criminali rispondano abbastanza velocemente.

Come infetta gli utenti?

Spora sta attualmente colpendo utenti russi tramite email, presentandosi come una fattura da parte di 1C, un software gestionale popolare nell’area dell’est-europa e Russia. Il nome del file è “Скан-копия _ 10 января 2017г. Составлено и подписано главным бухгалтером. Экспорт из 1С.a01e743_рdf.hta” che può essere tradotto in “Scan-copy _ 10 Jan 2017. Written and signed by the chief accountant. Exported from 1C.a01e743_pdf.hta”. Usa una doppia estensione per mascherarsi come un’altra fattura PDF, in realtà è un file HTA. I file HTA sono chiamati applicazioni HTML. L’idea di un’applicazione HTML è quella consentire a chiunque di creare applicazioni desktop in HTML ed in diversi linguaggi. Pensa al tuo browser, ma senza nessun meccanismo di protezione. Due script supportati da applicazioni HTML su windows sono JScript e VBScript, entrambi di essi usati da Sporta. Quando l’utente fa doppio click sul file HTA, creerà un nuovo file nella cartella %TEMP%, chiamato, successivamente scrive altri file. Ultimo, ma non per importanza, il file JScript viene eseguito:

Contenuto del file HTA scaricato

Il file JScript è criptato ed offuscato al fine di nasconderlo da algoritmi di scansione personalizzati e da CryptoJS. Una volta rimosso l’offuscamento, notiamo una linea codificata BASE64, che contiene l’eseguibile del malware. Lo scopo dello script è di decodificare la line codificata e di creare due file nella cartella %TEMP%:

  • doc_6d518e.docx
  • 81063163ded.exe

Dopodichè il JScript proverà ad aprire ed eseguire entrambi i file per poi chiudersi. Il primo file è un documento non valido al fine di mostrare un errore da parte di Word o WordPad:

Documento finto corrotto

Pensiamo che questo comportamento si intenzionale per distrarre l’attenzione, infatti l’utente si aspetta che il documento venga aperto. Il documento corrotto inoltre fa si che l’utente sia meno sospetto sul file HTA che ha appena eseguito. Il secondo file, invece, è il ransomware che cripterà tutti i dati.

Generazione di chiavi e metodi di criptazione di Spora

Spora utilizza un mix di RSA e AES per criptare i dati delle vittime. Per facilitare la procedura, vengono usate le CryptoAPI di Windows. Quando Spora infetta un sistema, cercherà e decripterà la chiave RSA all’interno dell’eseguibile malware utilizzando una chiave AES. Una volta che la chiave RSA del malware viene importata correttamente, il malware inizia a creare un nuovo paio di chiavi RSA 1024 bit, che chiameremo chiavi RSA della vittima, una chiave privata ed una pubblica. Verrà generata anche una nuova chiave AES 256 bit per criptare i dati della vittima. Una volta che la chiave privata RSA della vittima è criptata, la chiave EAS utilizzata viene criptata utilizzando la chiave pubblica RSA. La chiave verrà criptata con altre informazioni all’interno del file .KEY. Per criptare un documento od un file nel sistema, Spora genererà una nuova chiave AES 246 bit per-file. Tutto ciò per criptare i primi 5 MB del file. Il file successivamente inizierà a criptare i file con la chiave pubblica RSA della vittima e la chiave RSA criptata. Questa procedura potrebbe sembrare banale all’inizio, ma consente agli autori del malware di operare senza inviare comandi dal server durante le operazioni. E’ sfruttato anche da altri ransomware, come il DMA Locker 3, dove gli autori del malware utilizzavano la loro chiave pubblica direttamente, in questo caso il decrypter era unico per tutti. Sfortunatamente, dopo attenti studi e valutazioni, possiamo affermare che non c’è modo per ottenere la chiave privata degli autori del ransomware, rendendo la decriptazione dall’esterno impossibile.

Dimmi chi sei e ti dirò quanto devi pagare

Come descritto prima, Spora è unico. Non solo riesce a criptare i dati al primo tentativo, abbastanza complicato al giorno d’oggi anche da campagne professionali come il Cerber, ma utilizza modalli unici di pagamento per determinare quanto un utente è disposto a pagare. Come descritto prima, il file .KEY è creato dal ransomware e contiene non solo la chiave RSA privata della vittima, ma anche altre informazioni:

Il contenuto del file .KEY decriptato

La chiave privata RSA è immediatamente visibile, ma vogliamo portare la tua attenzione ad un altro dato. La chiave privata RSA è seguita dalla data dell’infezione, dall’username della vittima e la località del sistema infetto. Il valore successivo è un identificativo codificato ed è valido per tutte le infezioni di Spora che abbiamo analizzato. Siamo quasi sicuri di poter dire che questo è un ID utilizzato per tracciare le performance della campagna e pagare una percentuale agli affiliati di queste campagne, considerando che Spora potrebbe essere offerto come un servizio ransomware. I 6 seguenti numeri sono interessanti. Dopo aver selezionato gli obiettivi da criptare, Spora li cataloga in sei categorie basandosi sulle loro estensioni:

Categorie dei file definite da Spora

Queste statistiche sono incluse nel file .KEY utilizzando valori numerici. In aggiunta, queste statistiche determineranno il prezzo di riscatto dei propri file. Abbiamo notato come i prezzi venivano modificati dopo un attacco via RDP, i malviventi hanno controllato chi possedeva i file ed il server prima di criptare i documenti. Spora rende queste procedure automatiche senza la necessità di controllo remoto. I prezzi mostrati in questo test sono relativamente bassi in quanto, utilizzando un computer test, è stato determinato di poco valore dai creatori del malware. In aggiunta, il contenuto del file .KEY, come anche le statistiche, sono utilizzate per creare un ID utente, richiesto durante l’accesso al pannello per la prima volta. Un esempio:

US741-85RZR-TRTZT-ZTFFT-ZYYYY

Gli ID di Spora saranno presentati sempre in cinque blocchi da cinque caratteri ciascuno, separati da un trattino. I primi due caratteri (US) sono le 2 lettere identificative dello stato. I 5 numeri successivi (75185) sono i primi 5 caratteri dell’MD5 del file .KEY non ancora criptato. Le lettere seguenti (RZRTRTZTZTFFTZ) fanno parte delle statistiche dal file .KEY. Tutti i simboli (|) sono sostituiti con la lettera T. Le sostituzioni possono essere visionati nella seguente porzione di codice:

Substitution table used by Spora to encode statistics in user ID

Tabella di sostituzione utilizzata da Spora per codificare le statistiche nell’ID

Se l’ultimo blocco non raggiunge i 5 caratteri, è completato di lettere Y. Basandoci su queste informazioni, possiamo sapere il numero esatto dei file criptati da Spora attraverso il nostro ID. Stiamo lavorando assieme a piattaforme come ID Ransomware e No More Ransom al fine di fornire statistiche basandosi sugli ID contenuti nelle note dei file inviati.

Come posso proteggermi da Spora?

Come spiegato nel nostro articolo sui ransomware, la miglior protezione rimane la strategia del backup, specialmente con ransomware come Spora, in quanto l’unico modo per ripristinare i file è necessario l’intervento del creatore del ransomware. Oltre a backup ricorrenti, sarai contento di sapere che modulo del controllo del comportamento utilizzato da Emsisoft Anti-Malware ed Emsisoft Internet Security è in gradi di bloccare la minaccia prima ancora che inizi a criptare un singolo file. Inoltre, lo stesso modulo ti proteggerà da altre centinaia di famiglie simili e diverse da Spora, senza l’utilizzo di firme antivirali.

Gli utenti di Emsisoft Anti-Malware ed Emsisoft Internet Security sono protetti da Spore ed altre famiglie di ransomware tramite il controllo del comportamento anche se utilizza JScript od un eseguibile

Consideriamo i ransomware una delle minacce più pericolose di questi tempi e pianifichiamo di migliorare le nostre capacità per tenere testa a questa piaga informatica, per mantenere i nostri utenti al sicuro, nel miglior modo possibile.

CTA_ransomware_EAM_Download_DE

  • RE.TE. SNC

    Buonasera, è disponibile un tools per decryptare i file infetti dallo spora?