Provenienza italiana, esca che genera disagio e vergona, richiesta di riscatto a cui non corrisponderà mai la restituzione dei dati compromessi. È questo lo scenario che si sono trovati davanti gli esperti del CERT-AGID analizzando il ransomware Chaos segnalato dal gruppo MHT.

Sui sistemi compromessi viene impostato uno sfondo del desktop che raffigura due agenti della Polizia di Stato davanti a un’auto di servizio, vengono cifrati i file e viene depositato un file polizia.exe che millanta alla vittima uno scenario scioccante: l’attaccante avrebbe rilevato sul computer la presenza di materiale pedopornografico. Per non denunciare l’illecito penale alle forze dell’ordine chiede, entro 72 ore, il pagamento di un riscatto in bitcoin del corrispettivo di 250 euro.

La cifra è bassa rispetto ai soliti riscatti ransomware a cui si è abituati. Tuttavia la malcapitata vittima non tornerà più in possesso dei file compromessi perché, come spiegato da AGID, “i file di dimensione superiore a 2 MB vengono sovrascritti con dati casuali, vanificando di conseguenza ogni possibilità di ripristino”.

L’analisi dettagliata del malware ha inoltre permesso di determinare che Chaos ha la capacità di propagarsi su tutte le unità di archiviazione collegate al sistema compromesso, ampliando così la portata dei danni arrecati.

Lo sfondo del desktop che viene impostato - Fonte: CERT-AGID

La matrice italiana

La nota di riscatto e gli artefatti utilizzati hanno portato gli investigatori a riconoscere la paternità italiana del ransomware. Un ransomware sviluppato a partire dal codice del progetto open source Hidden-Tear liberamente disponibile su GitHub, e modificato solo nelle parti relative alla nota, all’indirizzo del portafoglio bitcoin, all’immagine di sfondo e all’estensione dei file cifrati, che è .polizia.

Tecnicamente parlando, si tratta di un assembly .NET relativamente semplice, senza soluzioni per l’offuscamento. L’esecuzione del malware conta cinque fasi: inizializzazione (gestione istanze multiple, elevazione, persistenza), cifratura, propagazione, nota di riscatto, sostituzione degli indirizzi bitcoin nella clipboard.

Nella prima fase, quella di inizializzazione, il malware attiva istanze multiple con una procedura molto semplice, che si limita a fare varie copie di sé stesso in altre directory, senza esclusività. C’è poi la parte dell’escalation di privilegi e quella con cui il ransomware Chaos si garantisce la persistenza creando un link a sé stesso nella cartella di avvio.

La routine di cifratura identifica le directory target tramite un algoritmo molto semplice: per il disco C viene selezionata una serie specifica e automatica di cartelle (Desktop, Contatti, Download, Musica, Video, Favoriti, Ricerche, Collegamenti, Documenti, One Drive e Salvataggi), per gli altri dischi include invece tutte le cartelle presenti.

Per snellire la procedura di crittografia vengono effettivamente cifrati solo i file minori di 2 MB, gli altri file vengono sovrascritti con dati casuali, per questo sarà impossibile recuperarli. La cifratura effettiva avviene invece mediante un algoritmo AES-256-CBC protetto da una password di 20 byte generata casualmente e differente per ciascun file.

L’analisi dei tre wallet bitcoin a cui fa riferimento la nota di riscatto rivela che al momento della verifica erano state effettuate due transazioni in entrata e altrettante in uscita. L’ultima movimentazione di denaro risale a dicembre.

Per verificare la compromissione dei sistemi, CERT-AGID ha pubblicato gli Indicatori di Compromissione a questo link.