Dettaglio News Dettaglio News

SOREBRECT un ransomware Fileless
19/06/2017
Un ransomware fileless, individuato da TrendMicro e battezzato con il nome di "SOREBRECT", è in grado di iniettare codice malevolo sulla macchina target e successivamente cifrare i dati della vittima. 

Sulla scia di altri ransomware, SOREBRECT sfrutta l'utility PsExec (di SysInternals) per compromettere altri sistemi. Il malware inietta il codice in un processo legittimo denominato "svchost.exe", provvede quindi ad attivare la componente di cifratura e successivamente a rimuove le tracce eliminando il binario, ripulendo il log degli eventi tramite l'utility "wevtutil" e le Shadow Copy tramite vssadmin in modo da impedire il ripristino dei file dal sistema attaccato.

Tramite l'account di amministratore, già compromesso in precedenza mediante attacchi di altro tipo, viene attaccato il target remoto utilizzando PsExec, su quest'ultimo viene eseguito il codice malevolo iniettando il codice in memoria. Dopo aver cifrato i file presenti sulla macchina locale e sulle cartelle condivise viene utilizzata la rete TOR per anonimizzare le comunicazioni con il server di Command e Control (C&C).

Secondo Trend Micro Investigation, SOREBRECT è stato distribuito inizialmente nei paesi del Medio Oriente come Kuwait e Libano, e successivamente in Canada, Cina, Croazia, Italia, Giappone, Messico, Russia, Taiwan e Stati Uniti.

L'analisi di una variante di SOREBRECT è disponibile sulla piattaforma Infosec da cui è possibile consultare i dettagli in formato PDF.