Il ransomware GandCrab si evolve alla versione 5

27/09/2018

malware ransomware

Dalle attività di monitoraggio e condivisione di informazione, il CERT-PA ha rilevato una massiccia diffusione della versione 5 del ransomware GandCrab.

Questa famiglia di malware, nelle versioni precedenti, è stata già oggetto di studio in data 06-02-2018, 01-03-2018 e 03-08-2018.

La nuova versione emersa di recente si differenzia dalla precedente per l’utilizzo di 5 caratteri casuali che definiscono le estensioni dei file crittografati e di una nota di riscatto in formato HTML.

Il malware viene diffuso utilizzando diverse tecniche di attacco (Exploit Kit, Email, Cloud, etc..), di seguito la raffigurazione sulle principali applicazioni associate alla diffusione di GandCrab nel mese di settembre 2018:


Fase di infezione

Una volta eseguito GandCrab (v5) cifra tutti i files che trova sul computer e nelle condivisioni di rete. Durante la scansione vengono prese di mira non solo le unità d rete, ma anche le semplici condivisioni non mappate. Ad ogni file criptato viene aggiunta l’estensione di 5 caratteri. Nell’esempio in figura, i files sono stati criptati con estensione .lntps:

Al termine della cifratura, il malware crea due messaggi di riscatto di nome [estensione]-DECRYPT.html ed [estensione]-DECRYPT.txt. Nel caso dell’esempio trattato, il file html sarà LNTPS-DECRYPT.html.

Come mostrato in figura, il messaggio conterrà informazioni sull’accaduto e istruzioni su come accedere al sito .onion (attualmente risulta (hxxp://gandcrabmfe6mnef.onion) tramite la rete TOR.


L’importo del riscatto, richiesto nel sito onion per ottenere il GandCrab Decryptor, ammonta a circa 800 $, da pagare tramite criptovaluta DASH (DSH).


Analisi sulla diffusione

Tramite analisi di threat intelligence sulla famiglia del malware GandCrab, con riferimento a partire dal primo di settembre 2018, è possibile osservare che il sample più diffuso in ambito globale è il file avente SHA256 5619a95ca3ed75dc062e5928de31f50c1dbcc6be2e0bbc70687b7148170b0043 associato ad una campagna di malspam del giorno 11 settembre 2018.

Nel mese corrente la diffusione del malware interessa in modo particolare il contesto europeo:

Il settore tecnologico è quello maggiormente coinvolto dagli attacchi GandCrab:

Dalle analisi è possibile osservare che per questa famiglia di malware, ogni giorno vengono generate centinaia di varianti attestandosi su una media giornaliera di circa un migliaio di nuovi sample.


Contromisure

  • applicare adeguate misure di protezione sulle unità di rete e sulle condivisioni non mappate, implementando le misure di sicurezza idonee;
  • esecuzione di backup periodici dei dati aziendali;
  • bloccare le connessioni di servizi di desktop remoti sulla rete internet;
  • utilizzare software di sicurezza basati non solo sul rilevamento della firma ma anche sul comportamento dinamico dei malware;
  • non aprire allegati da mittenti non conosciuti e accertarsi dell’identità del mittente;
  • installare gli aggiornamenti di Windows non appena disponibili;

Indicatori di compromissione

Di seguito gli indicatori di compromissione “GandCrab” rilevati nelle ultime 24 ore

IoC (.txt) – SHA256, MD5, Domini e IP