Cryptography + Malware = Ransomware

Condividi questo articolo:


Quando combini crittografia e malware, ottieni un mix molto pericoloso di problemi. Questo è un tipo di virus informatico che porta un altro nome, “ransomware”. Questo tipo di virus fa parte di un campo di studio chiamato “criptovirologia”. Attraverso l’uso di tecniche chiamate phishing, un autore di virus invia il file ransomware a una vittima inconsapevole. Se il file viene aperto, eseguirà il payload del virus, che è un codice dannoso. Il ransomware esegue il codice che crittografa i dati dell’utente sul computer o sull’host infetto. I dati sono file dell’utente come documenti, fogli di calcolo, foto, file multimediali e persino documenti riservati. Il ransomware prende di mira i file del tuo personal computer e applica un algoritmo di crittografia come RSA che rende il file inaccessibile. L’unico modo per accedervi è se l’utente paga un riscatto all’attore della minaccia seguendo le istruzioni che appaiono codificate nei file crittografati. Quindi si chiama ransomware, perché è richiesta una forma di pagamento per risolvere il problema.

Il pagamento richiesto deve anche essere in criptovaluta, nella maggior parte dei casi Bitcoin. Un tipo di ransomware più sinistro a volte darà agli utenti una scadenza per completare il pagamento, altrimenti i file potrebbero andare persi per sempre. Quando il file è crittografato, l’unico modo per recuperarlo è con una chiave di decrittazione o un potente computer. Quest’ultimo non è realmente disponibile per la maggior parte degli utenti, quindi questo rende attacchi come questo una minaccia molto seria. Il ransomware tenterà anche di infettare altri computer della rete a cui è collegato l’host infetto, quindi ha anche proprietà simili a worm. Viene anche definito “criptoworm”. Uno dei primi ransomware conosciuti ad apparire fu Cryptolocker, che causò il caos tra settembre 2013 e fine maggio 2014. Il ransomware è classificato come un tipo di crimine informatico che viene talvolta menzionato in “Crime-as-a-Service” quando usato per estorcere denaro.

Come funziona Ransomware

Secondo una presentazione della conferenza IEEE sulla sicurezza e la privacy del 1996 (Adam Young e Moti Yung), ecco come funziona il ransomware:

[attaccante → vittima] L’attaccante genera una coppia di chiavi e inserisce la chiave pubblica corrispondente nel malware. Il malware è stato rilasciato.
[vittima → attaccante] Per eseguire l’attacco di estorsione criptovirale, il malware genera una chiave simmetrica casuale e crittografa i dati della vittima con essa. Utilizza la chiave pubblica nel malware per crittografare la chiave simmetrica. Questo è noto come crittografia ibrida e si traduce in un piccolo testo cifrato asimmetrico e nel testo cifrato simmetrico dei dati della vittima. Azzera la chiave simmetrica e i dati in chiaro originali per impedire il recupero. Invia un messaggio all’utente che include il testo cifrato asimmetrico e come pagare il riscatto. La vittima invia il testo cifrato asimmetrico e la moneta elettronica all’attaccante.
[attaccante → vittima] L’attaccante riceve il pagamento, decifra il testo cifrato asimmetrico con la chiave privata dell’attaccante e invia la chiave simmetrica alla vittima. La vittima decifra i dati crittografati con la chiave simmetrica necessaria, completando così l’attacco di crittografia.

Testing Environment

 

Quando gli attori delle minacce sono un passo avanti, diventa molto importante essere in grado di prevenire questi attacchi e anche trovare il modo di mitigarli. Ci sono molte varianti ora e cercare di tenere il passo con le ultime sta diventando più difficile poiché possono essere attacchi zero day. Recentemente ho fatto la mia analisi del ransomware usando un laboratorio per capire meglio come funziona. Fornirò la demo solo a scopo informativo, questo non dovrebbe essere tentato a casa se non sai cosa stai facendo. Queste hanno gravi conseguenze e se vieni sorpreso a diffondere un vero virus informatico, è punibile dalla legge. Ho creato un sandbox che non è collegato a una rete di produzione, ma piuttosto isolato nel suo stesso ambiente. Ho quindi usato una versione modificata (meno malevola) del ransomware per la mia analisi.

Ho 4 computer per questo laboratorio che utilizzano il protocollo TCP / IP in un’impostazione LAN. HOST1 che esegue Kali Linux è configurato per eseguire l’attacco contro un altro computer chiamato HOST2 che esegue Windows 7. Aggiungo anche un server di posta con un dominio AD che esegue Windows Server 2012 chiamato SERVER1. HOST1 si connette a SERVER1, mentre HOST1 è un computer separato che non fa parte del dominio. Infine c’è un semplice server DNS chiamato DNS1 che fornisce servizi di nomi e SMTP per la rete dell’ambiente virtuale.

Uso un IP statico su tutti i computer e ho creato voci di nomi DNS statici per semplificare questa rete, nessun firewall o router è compreso tra HOST1 e HOST2. Questi computer sono in esecuzione nella propria rete, non connessa a nessun ambiente di produzione. Non inserirò troppi dettagli tecnici con l’installazione, ma ho fornito uno schema di rete di seguito. Esistono altri modi in cui è stato possibile eseguire questa configurazione che non richiede un server. Puoi semplicemente aprire il messaggio infetto direttamente su un computer. Il motivo per cui ho impostato la rete è osservare come il ransomware tenta di diffondersi. (Nota: non sono state applicate patch e per questa demo non è stato installato alcun prodotto antivirus o di sicurezza di terze parti)

Ambiente di test semplice non indirizzato. HOST1 sarà l’attaccante e HOST2 è il computer vittima.
Esempio: WannaCry

Prima di iniziare, lasciami discutere un ransomware chiamato WannaCry aka WCry (maggio 2017) per dare un esempio di un vero attacco di ransomware. Quando questa è diventata una notizia, suppongo che potrebbe essere stata anche la prima volta che molte persone hanno sentito parlare di Bitcoin, il pagamento in criptovaluta richiesto dal ransomware. Questo deve aver gettato una cattiva luce su Bitcoin, poiché la gente supporrà che sia ciò che i criminali usano per i pagamenti. Per gli utenti infetti che non sanno usare la criptovaluta, ciò richiederebbe un corso accelerato. Un utente dovrebbe effettuare il pagamento utilizzando Bitcoin, che utilizza il token BTC. Ciò richiederebbe agli utenti di fare uno scambio digitale e quindi acquistare una certa quantità di Bitcoin. Devono quindi effettuare il pagamento all’indirizzo pubblico fornito dal ransomware. Da quel momento è un gioco d’attesa, poiché gli utenti ansiosi attendono quello che succederà dopo. Il caso peggiore è che gli attori delle minacce non inviano alcuna chiave di decrittazione e quindi i dati potrebbero andare persi per sempre.

Il motivo per cui gli attori delle minacce usano la criptovaluta per i pagamenti è quello di stabilire un po ‘di anonimato, sebbene per impostazione predefinita Bitcoin non sia progettato per la privacy. È pseudonimo, il che significa che può ancora essere rintracciato su un conto bancario o un utente su uno scambio digitale quando si tenta di incassare. Il problema è che ci sono molti livelli da scoprire durante un’indagine perché il Bitcoin può essere passato da un indirizzo a un altro e quindi convertito in un’altra criptovaluta. Questo è ciò che rende molto più difficile rintracciare i pagamenti di ransomware. Ecco perché è importante considerare la prevenzione del ransomware.

 


Il messaggio ransomware di WannaCry.

WannaCry ha sfruttato un exploit sui sistemi operativi Windows che presentava una vulnerabilità nota. Microsoft ha a disposizione una patch per questa vulnerabilità denominata MS17–010 (vulnerabilità della sicurezza Microsoft che interessa SMBv1 di Microsoft Server Message Block 1.0) che può essere scaricata dal loro sito Web. Questa vulnerabilità sfrutta l’implementazione Microsoft del protocollo Server Message Block (SMB). Le porte 139 e 445 aperte su connessioni in entrata su computer Windows che eseguono SMB verranno infettate se la patch non viene applicata. L’NSA lo sapeva ma non condivideva immediatamente le informazioni con Microsoft fino a dopo le perdite risultanti da un server NSA compromesso che conteneva il codice che era l’origine di questo ransomware, per gentile concessione di Shadow Brokers.

Il kill switch risulta essere un dominio non registrato scoperto come un difetto nel codice che avrebbe dovuto scatenare un payload che avrebbe potuto fare più danni. Un ricercatore di nome “MalwareTech” che stava indagando su questo, ha affondato il dominio registrandolo per $ 10,69 e ciò ha impedito la diffusione del malware. Non è noto come sia iniziato, ma sembra che sia stato piantato intenzionalmente. Una volta che il malware è stato installato, quando eseguito si diffonde come un worm propagandosi su porte vulnerabili su computer Windows senza patch (da aprile 2017) e versioni precedenti di Windows senza patch da aprile 2014, come XP e Server 2003 (Linux, Ubuntu, macOS e altre varianti Unix non sono state molto colpite da questa vulnerabilità).

Il malware si diffonde sondando altri computer che eseguono Windows sulla stessa rete e oltre. Quindi, come un incendio, si diffonde fino a quando un amministratore di sistema non noterà e spegnerà immediatamente i firewall o addirittura spegnerà i router per impedirne la diffusione. Ora l’escalation viene portata ad un altro livello con i sistemi infetti. Questo perché WCry crittografa l’hard disk e tutti i dati archiviati e richiede un riscatto di $ 300 da pagare in Bitcoin. Ora non è più facile alleviare l’ansia dell’utente perché il riscatto aumenta se non viene pagato entro un certo periodo di tempo. Pagare in Bitcoin aumenta anche il livello di ansia poiché la maggior parte degli utenti non saprà molto sulla criptovaluta. Si stima che 200.000 computer siano stati infettati in 150 paesi causando danni che vanno da centinaia di milioni a $ 4 miliardi secondo la società di cyber risk.

Attacco ransomware simulato

Inizio da HOST1 per eseguire un attacco di phishing inviando un’e-mail con il file infetto. Il file infetto sarà in formato Word (file DOCX) e verrà inviato come allegato da un’e-mail fasulla da HOST1 al server di posta elettronica Exchange SERVER1 sul dominio HOST2 utilizzando un inoltro SMTP da DNS1. Non ho configurato alcuna misura anti-inoltro o anti-spam per questo test per funzionare. Voglio che HOST2 riceva l’e-mail nel suo client Outlook estraendo il messaggio dal server Exchange. Quindi il messaggio inviato simula un attacco di phishing. Il messaggio ha l’oggetto:

“URGENTE: Apri il file allegato per correggere il tuo account”

Si suppone che il messaggio provenga dal dipartimento delle cartelle cliniche dell’ospedale della vittima e nel corpo del messaggio possiamo scrivere qualcosa del genere:

=======================

=================

Gentile paziente,

Recentemente abbiamo rilevato strane attività dal tuo account. Apri e leggi il file allegato per risolvere il problema con il tuo account.

Grazie,
Servizio Clienti

========================================

Il messaggio appare urgente e richiede all’utente di agire immediatamente. Un attore o un hacker di minacce vorrà che la vittima apra il messaggio in modo che proveranno diversi trucchi per farlo aprire. Messaggi come questo sarebbero normalmente bloccati come spam dal filtro anti-spam dell’azienda o addirittura messi in quarantena dall’antivirus a causa di allegati sospetti. Tutti questi sono disabilitati per questo test, per simulare ciò che potrebbe accadere nel mondo reale in cui la sicurezza a volte non è implementata correttamente. Senza alcuna protezione da un AV o da qualsiasi altro prodotto di sicurezza, il computer vittima apre il messaggio e fa doppio clic sull’allegato di posta elettronica da Outlook. Quindi tenta di aprire l’allegato in Microsoft Word.

 

La vittima riceverà un messaggio di errore nel tentativo di aprire il documento di Word che esegue il codice ransomware.
Viene visualizzato un messaggio di errore e la vittima penserà che il programma si sia arrestato in modo anomalo. Quello che sta realmente accadendo qui è che il ransomware modificato ha eseguito il codice per rilasciare il suo payload, ed è qui che inizia il divertimento.

A questo punto, la vittima probabilmente supporrà che il file allegato sia corrotto e andrà avanti per la loro giornata. Sullo sfondo, il ransomware inizia a liberare il suo codice e inizia a crittografare i file personali della vittima, iniziando con la cartella “Utenti” e quindi i contenuti in “I miei documenti”. I file originali non vengono modificati, ma la copia crittografata è un file completamente diverso dall’originale, che viene eliminato.

I file sono crittografati dal ransomware con un segno “+” che racchiude un nuovo nome di file.
La vittima proverà quindi ad aprire un file nelle loro cartelle e noterà improvvisamente che i nomi sono cambiati. Tutti i file sono stati crittografati con lo stesso nome “+ REcovER + dpyww +”, ma mantengono il loro tipo di file come si può vedere dalla cattura dello schermo. Questa convenzione di denominazione era in realtà una modifica dello stile originale ai fini dello studio. Noterai anche che la data modificata sarà la stessa per i file crittografati. In questo caso puoi vedere che ci sono 3 file con lo stesso nome modificato il 29/05/2018 alle 15:59. Il tempo varia in base alla velocità e al numero di file che il ransomware ha elencato e crittografato. La data modificata sarà coerente. Il sistema operativo e i file di programma non sono crittografati. Quando la vittima apre il file, vedrà invece il seguente messaggio (vedi sotto).

Il ransomware lascia un messaggio per la vittima infetta. DISCLAIMER: NON TENTARE di accedere all’URL dal messaggio ransomware. Non sono attendibili o verificati sicuri. I collegamenti sono stati offuscati per la sicurezza pubblica.
Come puoi vedere, questo ransomware era basato su “TeslaCrypt”. Indipendentemente dal file aperto dalla vittima, verrà rinominato in “+ REcovER + dpyww +” e si apriranno tutti con lo stesso messaggio. In un vero attacco puoi trovare diverse note di riscatto rilasciate sul PC in diverse posizioni delle cartelle. Queste note sono intitolate RECOVER [simboli casuali] .txt, Howto_Restore_FILES.txt o How_Recover + (simboli casuali) .txt. Possono anche venire in un formato di file HTML e PNG. L’algoritmo di crittografia RSA è stato utilizzato da questo ransomware nei file della vittima. Il modo per ripristinare i file richiede una chiave privata dal server che lo ha generato. Il server contiene anche la chiave pubblica che è stata generata dalla chiave privata. Questo in realtà protegge i dati su sistemi riservati, ma applicato nel ransomware è piuttosto sinistro perché è una forma di estorsione per costringere le vittime a pagare per recuperare i loro dati. La vittima avrà bisogno della chiave privata per decrittografare i file, che viene fornita se paga il riscatto.

Analizzare il messaggio

Analizziamo il messaggio che riceviamo dal ransomware. Leggerai questa riga in “Che cosa è successo ai tuoi file?”:

“Tutti i tuoi file sono stati protetti da una crittografia avanzata con RSA-4096”

Questo dice alle vittime che i loro file sono stati crittografati usando l’algoritmo di crittografia RSA di cui abbiamo brevemente discusso. Il 4096 si riferisce al numero di bit utilizzati nella crittografia chiamato anche lunghezza della chiave. Questo dà un totale di 2⁴⁰⁹⁶ numeri distinti o 1.234 cifre, quindi è una tecnica di crittografia molto potente. Ti viene quindi detto che non sarai in grado di “lavorare con loro, leggerli o vederli”. Questo è come perderli per sempre, quindi questo rende una vittima disperata di provare a recuperare i file. Il messaggio continua quindi informando la vittima che esiste un server con una chiave segreta, la chiave privata, che può decrittografare i file. Ciò significa che il ransomware ha utilizzato una chiave pubblica per crittografare i file sul computer. Ora, al fine di recuperare questi file, la vittima avrà bisogno della cosiddetta “chiave segreta”, che in realtà è la chiave privata che viene utilizzata per decodificare i file crittografati con la chiave pubblica.

Il ransomware utilizza una forma di crittografia asimmetrica a chiave pubblica crittografata

file di una vittima utilizzando una chiave pubblica generata da un altro computer. Quel computer contiene la chiave privata necessaria per decrittografare i file crittografati e può essere facilmente decrittografato solo usando quella chiave privata.
L’algoritmo RSA prevede 4 passaggi:

Generazione chiave
Distribuzione chiave
crittografia
decrittazione
Gli attori delle minacce dispongono di un server di generazione e distribuzione delle chiavi che detiene la chiave privata. Il problema è che la posizione del server è difficile da rintracciare perché può trovarsi in un altro paese e la sua posizione fisica rimane un mistero a meno che non ci siano indizi.

Le istruzioni quindi fanno riferimento a determinati siti. Non l’ho fatto perché non ho una connessione Internet, ma per farlo c’è un altro requisito. Poiché gli hacker vogliono mantenere le cose più sotto il radar, richiedono che la vittima installi il browser TOR con un collegamento ipertestuale da scaricare. Il browser TOR consente una connessione più privata di cui gli hacker avrebbero bisogno per evitare di essere facilmente rintracciati. Ci sono più istruzioni da seguire nella parte inferiore del messaggio.

========================================

Il server distruggerà la chiave entro 48 ore dal completamento della crittografia.

Per recuperare la chiave privata, devi pagare 2 bitcoin IMPORTANTE AVETE SOLO 48 ORE SE NON PAGHI TUTTI I TUOI FILE SARANNO ELIMINATI!

I bitcoin devono essere inviati a questo indirizzo: (Indirizzo Bitcoin)

Dopo aver inviato il pagamento, inviaci un’email a: <indirizzo email degli hacker> con oggetto: DECRYPT-ID- <xxxxx>

========================================

È facile farsi prendere dai messaggi mentre la vittima cerca di trovare una soluzione. Tuttavia, potrebbe essere in corso un altro tipo di azione in background. Alcuni ransomware tentano di diffondere l’infezione e lo fanno sondando le porte su altri computer Windows collegati alla rete. Questa variante e persino l’originale non avevano quel comportamento. Il monitoraggio sulle porte 139 e 445 in ingresso su SERVER1 non ha mostrato segni di attacco e non vi è stata alcuna infezione dei file sul server. È stato riferito che TeslaCrypt attacca le unità di rete, ma non sono stato in grado di creare un’unità di rete durante questo test. Pertanto, è sempre consigliabile rimuovere e isolare il sistema infetto dalla rete il prima possibile.


Le connessioni alla porta su SERVER1 (WIN-NUMCI79D3CL) non mostrano alcuna connessione stabilita dalla vittima HOST2.

Suggerimenti per il ransomware

Il modo migliore per combattere i ransomware di qualsiasi tipo è installare un antivirus o un software di sicurezza. È inoltre consigliabile mantenere aggiornato il sistema operativo (Windows, Linux, macOS, ecc.) Con le ultime patch software e gli aggiornamenti dei fornitori. Microsoft consente agli utenti di eseguire aggiornamenti automatici sui propri sistemi. Forse il metodo migliore è la prevenzione.

Ricorda quanto segue (Fonte: TrendMicro):

Evitare di aprire e-mail non verificate o fare clic sui collegamenti incorporati in esse.
Eseguire il backup dei file importanti utilizzando la regola 3–2–1: creare 3 copie di backup su 2 supporti diversi con 1 backup in una posizione separata.
Aggiorna regolarmente software, programmi e applicazioni per proteggerti dalle vulnerabilità più recenti.
Un’altra cosa molto importante da considerare, e la cosa giusta da fare sulle reti di produzione, è rimuovere i computer che eseguono Windows XP. Questi sistemi legacy non sono più supportati da Microsoft e la raccomandazione è di aggiornare o ritirare questi sistemi. Erano uno dei motivi principali per cui il ransomware si è diffuso così rapidamente. Questi sistemi sono obsoleti e molto aperti non solo al ransomware ma ad altre vulnerabilità, inclusi exploit zero day. Se sono ancora necessari perché eseguono un software legacy, devono essere il più possibile isolati da Internet o protetti da un’impostazione del firewall che blocchi le porte vulnerabili che accedono alla sottorete del sistema Windows XP. Anche i sistemi Windows 7, che non sono più supportati da Microsoft, dovrebbero essere presi in considerazione per gli aggiornamenti. Non esiste alcuna garanzia di protezione dalle nuove varianti di ransomware su sistemi Windows precedenti.

Per le reti aziendali con operazioni aziendali la diffusione del ransomware può avere risultati dannosi. È successo con alcune banche ad es. Banche ucraine. Gli attori della minaccia avrebbero potuto essere sponsorizzati dallo stato con l’intenzione di estorcere denaro o in alcuni casi solo per crittografare i file per impedire l’accesso ai dati (nessun riscatto). Gli amministratori di sistema devono avere una difesa contro gli attacchi ransomware rafforzando le porte con IPS / IDS e il monitoraggio dei rapporti di anomalia con avvisi in caso di rilevamento. Le definizioni dei virus ora possono interrompere il ransomware con i prodotti antivirus installati e esistono altre soluzioni di sicurezza in grado di rilevare il ransomware a livello di rete. Altre strategie includono la segmentazione della rete per prevenire la diffusione di sistemi infetti. Questo è un modo per isolare il ransomware dall’attacco ulteriore alla rete.

Tecniche di phishing come l’esempio utilizzato nell’attacco simulato, possono essere prevenute da una solida politica IT che informa gli utenti di non aprire mai allegati non verificabili da fonti non attendibili. A volte il virus appare legittimo con l’indirizzo e-mail contraffatto di un dirigente dell’azienda. Per prevenire ulteriormente questi attacchi, i filtri antispam con definizioni dei virus possono bloccare il messaggio quando implementato sul server di posta elettronica. Il server di posta elettronica aziendale può anche essere configurato per impedire l’utilizzo dell’indirizzo di dominio utilizzando un’impostazione di inoltro che non consentirà ad altri utenti di utilizzare il proprio sistema per inviare e-mail a meno che non facciano parte di tale organizzazione. Alcune aziende potrebbero anche richiedere una firma digitale se il messaggio è stato effettivamente inviato da un livello superiore. Esistono politiche diverse per ciascuna azienda che dipendono dalle regole aziendali.

Essere infettati dal ransomware è molto diverso da un tipico virus o malware. I file del computer infetto sono crittografati e ci sarà una richiesta di riscatto per la vittima al fine di recuperare i file. Molti commettono l’errore di pagare il riscatto, ma in alcuni casi non ottengono la chiave privata per decrittografare i file. Questa può anche essere una truffa degli hacker per ottenere criptovaluta. In alcuni casi la chiave privata è stata recuperata da una società di sicurezza informatica e resa disponibile per computer infetti.

Non discuto i modi per pulire un sistema infetto, ma ci sono buone informazioni disponibili dal No More Ransom Project. Google è ovviamente il posto migliore per iniziare a cercare strumenti e utilità anti-ransomware, ma per infezioni più gravi contattare un fornitore di servizi informatici professionale è il modo migliore per risolvere il problema.

 

RIFERIMENTI:

  1. Definition of Ransomware 
    https://en.wikipedia.org/wiki/Ransomware
  2. Cryptovirology
    https://ieeexplore.ieee.org/document/502676/
  3. WannaCry Ransomware
    https://en.wikipedia.org/wiki/WannaCry_ransomware_attack
  4. Encryption Methods Used in Ransomware
    https://resources.infosecinstitute.com/a-brief-summary-of-encryption-method-used-in-widespread-ransomware/#gref
  5. No More Ransom Project 
    https://www.nomoreransom.org/en/index.html
  6. Crime-as-a-Service, Threatens Business
    https://www.entrepreneur.com/article/298727

Hai bisogno di informazioni, una consulenza o un preventivo ?
Compila il form e illustrami il tuo progetto


Condividi questo articolo: