Campagna di ransomware GandCrab 5.2
gandcrab malware ransomware
Nel corso delle attività di monitoraggio, il CERT-PA ha rilevato questo weekend una campagna di malspam volta a veicolare il noto ransomware GandCrab nella versione 5.2. GandCrab, è stato scoperto agli inizi del 2018 e da allora lo sviluppo non è mai terminato. In quest’ultima campagna il ransomware viene veicolato via email con allegato un file .doc armato di macro malevola.
La macro, come di consueto offuscata, una volta eseguita prova a scaricare un file denominato “it.txt” dal seguente percorso: hXXp://134[.]209[.]88[.]23/it.txt ed eseguirlo tramite MS Connection Manager Profile Installer cmstp.exe con le opzioni “/s” e “/ns“.
In prima battuta il malware, compresso con UPX, verifica che sulla macchina compromessa non sia presente uno dei seguenti processi:
Nello specifico la routine controlla che il sistema non sia protetto da uno dei seguenti antivirus:
- Kaspersky
- ESET
- AntiVir
- Avast
- Norton
- McAfee
- Panda
- Sygate Firewall
- Kerio Personal Firewall
- Trendmicro
- F-Secure
- Comodo
- Windows Defender
Superato questo step, il malware inizia a raccogliere informazioni relativi all’host compromesso:
Nello specifico valorizza le seguenti variabili come nell’esempio di seguito riportato:
- pc_user=USER
- pc_name=HOSTNAME
- pc_group=WORKGROUP
- pc_lang=it-IT
- pc_keyb=0
- os_major=Windows 7 Ultimate
- os_bit=x64
- ransom_id=15Chars Hex
- hdd=C:FIXED_<CODE>/<CODE>,E:REMOTE_<CODE>/<CODE>&”
Verifica inoltre la presenza di cartelle condivise sul sistema target, effettua una ricerca per verificare la presenza su disco della nota di riscatto (un file denominato “IIPTHBGFBL-MANUAL.txt” utilizzato per fornire le istruzioni di pagamento), infine provvede a censire e a cifrare i file presenti sul filesystem e a cambiare lo sfondo del desktop con una immagine che informa su quanto accaduto.
Di seguito le estensioni dei file ricercati dal ransomware su cui applicare la cifratura:
Immagine del desktop sostituita:
Concluse le operazioni di cifratura il sample cancella la shadowcopy tramite il seguente comando “wmic.exe shadowcopy delete” e riprende la stringa preparata in fase di raccolta informazioni ed invia il tutto al server hXXp://www[.]kakaocorp[.]link/
Da analisi closint sembra che il ransomware GandCrab 5.2 veicolato in questi giorni sia particolarmente indirizzato a target High Tech con una forte concentrazione in europea.
Indicatori di compromissione
IoC (.txt) – File globale : Domini, hash files (SHA256), URL
IoC (HASHr.txt) – Lista dei soli hash file da utilizzare in combinazione con il tool HASHr