Campagna di ransomware GandCrab 5.2

01/04/2019

gandcrab malware ransomware

Nel corso delle attività di monitoraggio, il CERT-PA ha rilevato questo weekend una campagna di malspam volta a veicolare il noto ransomware GandCrab nella versione 5.2. GandCrab, è stato scoperto agli inizi del 2018 e da allora lo sviluppo non è mai terminato. In quest’ultima campagna il ransomware viene veicolato via email con allegato un file .doc armato di macro malevola.

La macro, come di consueto offuscata, una volta eseguita prova a scaricare un file denominato “it.txt” dal seguente percorso: hXXp://134[.]209[.]88[.]23/it.txt ed eseguirlo tramite MS Connection Manager Profile Installer cmstp.exe con le opzioni “/s” e “/ns“.

In prima battuta il malware, compresso con UPX, verifica che sulla macchina compromessa non sia presente uno dei seguenti processi:

Nello specifico la routine controlla che il sistema non sia protetto da uno dei seguenti antivirus:

  1. Kaspersky
  2. ESET
  3. AntiVir
  4. Avast
  5. Norton
  6. McAfee
  7. Panda
  8. Sygate Firewall
  9. Kerio Personal Firewall
  10. Trendmicro
  11. F-Secure
  12. Comodo
  13. Windows Defender

Superato questo step, il malware inizia a raccogliere informazioni relativi all’host compromesso:

Nello specifico valorizza le seguenti variabili come nell’esempio di seguito riportato:

  • pc_user=USER
  • pc_name=HOSTNAME
  • pc_group=WORKGROUP
  • pc_lang=it-IT
  • pc_keyb=0
  • os_major=Windows 7 Ultimate
  • os_bit=x64
  • ransom_id=15Chars Hex
  • hdd=C:FIXED_<CODE>/<CODE>,E:REMOTE_<CODE>/<CODE>&”

Verifica inoltre la presenza di cartelle condivise sul sistema target, effettua una ricerca per verificare la presenza su disco della nota di riscatto (un file denominato “IIPTHBGFBL-MANUAL.txt” utilizzato per fornire le istruzioni di pagamento), infine provvede a censire e a cifrare i file presenti sul filesystem e a cambiare lo sfondo del desktop con una immagine che informa su quanto accaduto.

Di seguito le estensioni dei file ricercati dal ransomware su cui applicare la cifratura:

Immagine del desktop sostituita:

Concluse le operazioni di cifratura il sample cancella la shadowcopy tramite il seguente comando “wmic.exe shadowcopy delete” e riprende la stringa preparata in fase di raccolta informazioni ed invia il tutto al server hXXp://www[.]kakaocorp[.]link/

Da analisi closint sembra che il ransomware GandCrab 5.2 veicolato in questi giorni sia particolarmente indirizzato a target High Tech con una forte concentrazione in europea.

Indicatori di compromissione

IoC (.txt) – File globale : Domini, hash files (SHA256), URL

IoC (HASHr.txt) – Lista dei soli hash file da utilizzare in combinazione con il tool HASHr