Variante italiana del ransomware Chaos chiama in causa la Polizia

Una denuncia penale alla Polizia per detenzione di materiale pedopornografico è il ricatto per convincere le vittime del ransomware Chaos a pagare 250 euro in Bitcoin.

Vulnerabilità

Provenienza italiana, esca che genera disagio e vergona, richiesta di riscatto a cui non corrisponderà mai la restituzione dei dati compromessi. È questo lo scenario che si sono trovati davanti gli esperti del CERT-AGID analizzando il ransomware Chaos segnalato dal gruppo MHT.

Sui sistemi compromessi viene impostato uno sfondo del desktop che raffigura due agenti della Polizia di Stato davanti a un’auto di servizio, vengono cifrati i file e viene depositato un file polizia.exe che millanta alla vittima uno scenario scioccante: l’attaccante avrebbe rilevato sul computer la presenza di materiale pedopornografico. Per non denunciare l’illecito penale alle forze dell’ordine chiede, entro 72 ore, il pagamento di un riscatto in bitcoin del corrispettivo di 250 euro.

La cifra è bassa rispetto ai soliti riscatti ransomware a cui si è abituati. Tuttavia la malcapitata vittima non tornerà più in possesso dei file compromessi perché, come spiegato da AGID, “i file di dimensione superiore a 2 MB vengono sovrascritti con dati casuali, vanificando di conseguenza ogni possibilità di ripristino”.

L’analisi dettagliata del malware ha inoltre permesso di determinare che Chaos ha la capacità di propagarsi su tutte le unità di archiviazione collegate al sistema compromesso, ampliando così la portata dei danni arrecati.


Lo sfondo del desktop che viene impostato - Fonte: CERT-AGID

La matrice italiana

La nota di riscatto e gli artefatti utilizzati hanno portato gli investigatori a riconoscere la paternità italiana del ransomware. Un ransomware sviluppato a partire dal codice del progetto open source Hidden-Tear liberamente disponibile su GitHub, e modificato solo nelle parti relative alla nota, all’indirizzo del portafoglio bitcoin, all’immagine di sfondo e all’estensione dei file cifrati, che è .polizia.

Tecnicamente parlando, si tratta di un assembly .NET relativamente semplice, senza soluzioni per l’offuscamento. L’esecuzione del malware conta cinque fasi: inizializzazione (gestione istanze multiple, elevazione, persistenza), cifratura, propagazione, nota di riscatto, sostituzione degli indirizzi bitcoin nella clipboard.

Nella prima fase, quella di inizializzazione, il malware attiva istanze multiple con una procedura molto semplice, che si limita a fare varie copie di sé stesso in altre directory, senza esclusività. C’è poi la parte dell’escalation di privilegi e quella con cui il ransomware Chaos si garantisce la persistenza creando un link a sé stesso nella cartella di avvio.

La routine di cifratura identifica le directory target tramite un algoritmo molto semplice: per il disco C viene selezionata una serie specifica e automatica di cartelle (Desktop, Contatti, Download, Musica, Video, Favoriti, Ricerche, Collegamenti, Documenti, One Drive e Salvataggi), per gli altri dischi include invece tutte le cartelle presenti.

Per snellire la procedura di crittografia vengono effettivamente cifrati solo i file minori di 2 MB, gli altri file vengono sovrascritti con dati casuali, per questo sarà impossibile recuperarli. La cifratura effettiva avviene invece mediante un algoritmo AES-256-CBC protetto da una password di 20 byte generata casualmente e differente per ciascun file.

L’analisi dei tre wallet bitcoin a cui fa riferimento la nota di riscatto rivela che al momento della verifica erano state effettuate due transazioni in entrata e altrettante in uscita. L’ultima movimentazione di denaro risale a dicembre.

Per verificare la compromissione dei sistemi, CERT-AGID ha pubblicato gli Indicatori di Compromissione a questo link.

Se questo articolo ti è piaciuto e vuoi rimanere sempre informato con le notizie di SecurityOpenLab.it iscriviti alla nostra Newsletter gratuita.

Notizie correlate

Speciali Tutti gli speciali

Speciale

Threat Intelligence

Speciale

Cloud Security

Speciale

Cybertech Europe 2022

Speciale

Backup e protezione dei dati

Speciale

Cyber security: dentro o fuori?

Calendario Tutto

Ott 12
Business Continuity in IperConvergenza per l’Edge e la PMI
Ott 18
IT CON 2022 - Milano
Ott 19
IDC Future of Data 2022
Ott 20
SAP NOW 2022
Ott 20
Dell Technologies Forum 2022
Ott 20
IT CON 2022 - Roma
Nov 03
Exclusive Tech Experience 2022 - Milano
Nov 08
Red Hat Summit Connect - Roma
Nov 08
Exclusive Tech Experience 2022 - Roma

Iscriviti alla nostra newsletter

Soluzioni B2B per il Mercato delle Imprese e per la Pubblica Amministrazione

Iscriviti alla newsletter