PyLocky Ransomware

13/09/2018

malware pylocky ransomware
Ondate di malspam sono state osservate dai ricercatori di Trend Micro all’inizio di agosto contro aziende francesi. Gli attacchi utilizzano l’ingegneria sociale nel tentativo di attirare potenziali vittime a fare clic su un link che li reindirizza a un collegamento internet malevolo per scaricare un file ZIP contenente un sample di PyLocky.
 
Le note di riscatto di PyLocky sono in inglese, francese, coreano e italiano, il che potrebbe suggerire che il target coinvolgerebbe potenzialmente anche utenti di lingua coreana e italiana.
Catena di infezione
Il 2 agosto, abbiamo rilevato una trasmissione di spam che distribuiva PyLocky alle aziende francesi allertandole con linee tematiche socialmente strutturate come quelle relative alle fatture. L’e-mail induce l’utente a fare clic su un collegamento, che reindirizza gli utenti a un URL malevolo contenente PyLocky.
 
Una volta installato sul computer della vittima, il malware tenta di crittografare file di immagini, video, documenti, suoni, programmi, giochi, database e archivi, tra gli altri. Complessivamente, mira a un elenco di oltre 150 tipi di file per la crittografia. 
 
PyLocky codifica immagini, video, documenti, suoni, programmi, giochi, database e file di archivio, tra gli altri. Di seguito l’elenco di tipi di file crittografati con PyLocky:
 
.dat, .keychain, .sdf, .vcf, .jpg, .png, .tiff, .gif, .jpeg, .jif, .jp2, .jpx, .j2k, .j2c, .fpx, .pcd, .bmp, .svg, .3dm, .3ds, .max, .obj, .dds, .psd, .tga, .thm, .tif, .yuv, .ai, .eps, .ps, .svg, .indd, .pct, .mp4, .avi, .mkv, .3g2, .3gp, .asf, .flv, .m4v, .mov, .mpg, .rm, .srt, .swf, .vob, .wmv, .doc, .docx, .txt, .pdf, .log, .msg, .odt, .pages., .rtf, .tex, .wpd, .wps, .csv, .ged, .key, .pps, .ppt., .pptx, .xml, .json, .xlsx, .xlsm, .xlsb, .xls, .mht, .mhtml, .htm, .html, .xltx, .prn, .dif, .slk, .xlam, .xla, .ods, .docm, .dotx, .dotm, .xps, .ics, .mp3., .aif, .iff, .m3u, .m4a, .mid, .mpa, .wav, .wma, .msi, .php, .apk, .app, .bat, .cgi, .com, .asp, .aspx, .cer, .cfm, .css, .js, .jsp, .rss, .xhtml, .c, .class, .cpp, .cs, .h, .java, .lua, .pl, .py, .sh, .sln, .swift, .vb, .vcxproj, .dem, .gam, .nes, .rom, .sav, .tgz, .zip, .rar, .tar, .7z, .cbr, .deb, .gz, .pkg, .rpm, .zipx, .iso, .ged, .accdb, .db, .dbf, .mdb, .sql, .fnt, .fon, .otf, .ttf, .cfg, .ini, .prf, .bak, .old, .tmp, .torrent
 
Le routine di crittografia del ransomware sono implementate utilizzando la libreria PyCrypto e sfruttano il codice 3DES (Triple DES). PyLocky esegue iterazioni su ciascuna unità logica, genera un elenco di file e quindi sovrascrive i file di destinazione con una versione cifrata.
 
Dopo aver completato il processo di crittografia, PyLocky presenta una richiesta di riscatto simile a quella di seguito rappresentata e stabilisce le comunicazioni con il suo server di comando e controllo: 
 
 
Il ransomware fa uso di Windows Management Instrumentation (WMI) per estrarre le informazioni del sistema interessato inviandole al server C&C tramite POST. Dispone anche di funzionalità anti-sandbox infatti, se il sistema colpito ha una memoria inferiore di 4 GB, il malware rimane inattivo per 999.999 secondi (circa 11,5 giorni) prima di avviare la routine di crittografia dei file che invece viene eseguita da subito se la memoria disponibile è maggiore o uguale a 4 GB.

Indicatori di compromissione (IoCs)
SHA256:
  • c9c91b11059bd9ac3a0ad169deb513cef38b3d07213a5f916c3698bb4f407ffa (lockyfud.exe)
  • 1569f6fd28c666241902a19b205ee8223d47cccdd08c92fc35e867c487ebc999 (lockyfud.exe)
  • e172e4fa621845080893d72ecd0735f9a425a0c7775c7bc95c094ddf73d1f844 (Facture_23100.31.07.2018.zip)
  • 2a244721ff221172edb788715d11008f0ab50ad946592f355ba16ce97a23e055 (Facture_23100.31.07.2018.exe)
  • 87aadc95a8c9740f14b401bd6d7cc5ce2e2b9beec750f32d1d9c858bc101dffa (facture_31254872_18.08.23_{numbers}.exe)
  • 8655f8599b0892d55efc13fea404b520858d01812251b1d25dcf0afb4684dce9 (facture_4739149_08.26.2018.exe)
URLs malevole associate:
  • hxxps://centredentairenantes[.]fr (C&C server)
  • hxxps://panicpc[.]fr/client[.]php?fac=676171&u=0000EFC90103
  • hxxps://savigneuxcom[.]securesitefr[.]com/client.php?fac=001838274191030
Aggiuntivi IoCs
Da analisi di threat intelligence, relativamente al valore import hash dei file “PEsopra indicatiil CERT-PA riporta ulteriori indicatori, non direttamente associati alla minaccia PyLocky ma a famiglie di malware avente codice strutturalmente simile, osservati nel periodo 09-13 settembre 2018:
 
IoC (.txt) Import hash: 719ea92bb6bb4c5aaa3e4d2e8bbfdde0
 
IoC (.txtImport hash: 2fb819a19fe4dee5c03e8c6a79342f79

Conclusioni
Dal momento che le note di riscatto del malware sono in lingua inglese, francese, coreano e in italiano, è possibile che gli ideatori delle campagne mirino a veicolare questa tipologia di ransomware in contesti più ampi di quelle fino ad ora rilevati.