Nuova campagna di Cyber-Estorsione basata su ransomware GandCrab

12/12/2018

azorult grandcrab sex extortion

Le campagne di Cyber-Estorsione basate sul fenomeno della Sex Extortion stanno diventando sempre più comuni e diffuse, solo negli ultimi mesi il CERT-PA ha pubblicato due news sull’argomento i cui riferimenti sono riportati di seguito:

  1. Campagna di Cyber-Estorsione (Luglio 2018)
  2. Campagna di Cyber Estorsione basata sull’archivio Breach Compilation (Ottobre 2018)

Le due campagne analizzate dal CERT-PA presentavano principalmente le seguenti caratteristiche:

  • dichiarazione che il computer del destinatario è stato compromesso mediante spyware o keylogger;
  • minaccia verso gli utenti/vittime di divulgare materiale digitale pornografico personale reperito a seguito della compromissione;
  • richiesta di riscatto mediante pagamento in bitcoin;
  • utilizzo della tecnica dello spoofing per far sembrare all’utente che l’email è stata inviata dal proprio indirizzo email come prova che il proprio account email era stato violato;
  • inserimento nel corpo dell’email di una password associata al proprio account email proveniente da precedenti Data Breach;
  • assenza di link o allegati nelle email.

Negli ultimi giorni invece, i ricercatori di Proofpoint hanno tracciato una nuova campagna di Cyber-Estorsione che a differenza delle precedenti si basa sul ransomware GandCrab.

Analisi della campagna

La nuova campagna da un punto di vista dei contenuti è molto simile alle precedenti ma con la differenza di contenere nel corpo della mail una URL ad un video compromettente della vittima. In realtà la URL non indirizza la vittima verso nessun video compromettente ma punta al dominio jdhftu[.]Tk  attraverso il quale viene avviata la catena d’infezione utilizzando il codice “stealer” del malware Azorult che a sua volta scarica e installa il ransomware GandCrab, nella versione 5.0.4. Si riporta di seguito un esempio di email malevola:

 

 

Una volta installato il ransomware GandCrab richiede alla vittima un pagamento di $ 500 in Bitcoin o DASH. Di seguito si riporta l’immagine del portale dei pagamenti di GandCrab:

 

Conclusioni

L’aggiunta di una URL nel corpo dell’email al fine di ingannare l’utente invitandolo a visualizzare una presentazione/video che mostra le attività compromettenti dei destinatari è una nuova tecnica di Cyber-Estorsione che aumenta il rischio associato a questo tipo di attacco.

Come per le precedenti campagne analizzate il CERT-PA consiglia di:

  • non cliccare su alcun link o aprire allegati per verificare le affermazioni del mittente;
  • non procede con il pagamento del riscatto;
  • nel caso di compromissione della propria postazione consultare il sito No More Ransom;
  • non utilizzare mai la stessa password per i diversi account;
  • utilizzare password robuste e cambiarle con una certa frequenza.

Indicatori di Compromissione

  • IoC (.txt) – File globale:   Domini, hash files (SHA1, MD5 e SHA256), URLs, IPv4
  • IoC (HASHr.txt) – Lista dei soli hash file da utilizzare in combinazione con il tool HASHr

Il CERT-PA fornisce a corredo della news ulteriori indicatori di compromissione, rilevati nelle ultime 24 ore, non connessi all’evento in oggetto ma riferibili al ransomware GandCrab:

  • IoC (.txt) – File globale:   hash files (SHA256 e MD5), Domini, URLs e IPv4