ID: CERT-PA-B Data: 10/03/2016

Dimensione: px

Iniziare la visualizzazioe della pagina:

Download "ID: CERT-PA-B Data: 10/03/2016"

Valentina Silvestri
4 anni fa
Visualizzazioni

1 Bollettino: Nuova variante Cryptolocker ID: Data: 10/03/2016 AVVERTENZE Il documento ha lo scopo di fornire alle Amministrazioni accreditate il quadro di riferimento degli scenari di minaccia rilevati dal CERT-PA, al fine di consentire loro di avviare tempestivamente valutazioni di impatto sui propri sistemi informativi e implementare le misure di contrasto/contenimento dei rischi correlati. Il CERT-PA, nell erogare al meglio questo servizio, si avvale di propri fornitori e di fonti pubbliche disponibili in Rete, individuati e selezionati tra i più autorevoli organismi di sicurezza, aziende specializzate e fornitori di tecnologie, al fine di garantire alla comunità di riferimento con la massima accuratezza, affidabilità e tempestività possibile le informazioni utili per la prevenzione e la gestione degli incidenti di sicurezza informatica. Non è consentito far uso di queste informazioni per finalità differenti da quelle sopra indicate. La presenza di rinvii operati mediante tecniche di ipertesto (link) non costituisce una raccomandazione del CERT-PA verso il soggetto richiamato, ma unicamente uno strumento per facilitare il rapido recupero di informazioni utili.

2 Indice Sommario Nuova variante Cryptolocker... 2 Indici di Compromissione: Mail e sito falso sito ENEL... 2 Indici di Compromissione File... 4 Indirizzi di C&C rilevati... 5 Cenni di analisi comportamentale di 6

Sommario Questa sezione contiene l elenco delle minacce oggetto del presente bollettino. Dalle segnalazioni e dal monitoraggio delle fonti, il CERT-PA evidenzia la seguente minaccia: 1.

3 Sommario Questa sezione contiene l elenco delle minacce oggetto del presente bollettino. Dalle segnalazioni e dal monitoraggio delle fonti, il CERT-PA evidenzia la seguente minaccia: 1. Nuova variante Cryptolocker Il CERT-PA ha ricevuto segnalazione da fonte affidabile relativamente ad una nuova campagna di spear phishing volta alla diffusione di una nuova variante di cryptoloker. Dalle analisi svolte dal CERT-PA la campagna risulta essere ancora in corso. Indici di Compromissione: Mail e sito falso sito ENEL La campagna di phishing segnalata riporta che le inviate sono state codificate per apparire come provenienti dal dominio poliziadistato.it. La mail non contiene allegati, ma invita a cliccare sul seguente link: hxxp://domki-letniskowe.info/v5edqp/4slhtoyp.php?id=<indirizzo_mail_vittima> Figura 1 - Finto sito ENEL Da ricerche OSINT effettuate, risulta attività malevola per il dominio domki-letniskowe.info dalla data del 10 Marzo Inserendo la CAPTCHA riportata a schermo, viene effettuato il download del file Bolletta.zip contenente il file Bolletta.exe. Il download dei file avviene da un host diverso da quello che ospita la finta pagina ENEL. Di seguito si riportano due link rilevali dal CERT-PA: 2 di 6

4 hxxps[:]//downloader.disk.yandex.com/disk/195e884721ee6ccfa63a17b864043a906b35faceb0fca 4beb59bf21767b01e5c/56e14caf/PwRT3hqxBJTR_NbOGQX7gtORjZn67yv1c08-4-iDc- 6MObPUaXubDzj534bM8rbOtqjdP6zmW9RPwxeWheSFCQ%3D%3D?uid=0&filename=Bolletta.zip& disposition=attachment&hash=eyrk5oocaurjso5dxnfruox1fjaosowmq32ye5v5i0k%3d&limit=0 &content_type=application%2fx-zipcompressed&fsize=416768&hid=d237859e759f392d348bc25861fc9c09&media_type=compressed &tknv=v2 hxxps[:]//downloader.disk.yandex.com/disk/270c6f72297b3fbe6b75ca2effe51d314a9fbfb67ffa93 75a1800a0122e0b1c1/56e1a76a/- 4ilAZKdPZ28Q_raaBjIkpNCtdKsjYWDUSFeo_xX5UV9zC98l2h3AAB8Bt6o_cXCU11SDWFj4x9c39IiydNz VA%3D%3D?uid=0&filename=Bolletta.zip&disposition=attachment&hash=2XDXbRAgiFTpwD4YUpL 7j2H3ZieNrVccLEPlhKNYHXI%3D&limit=0&content_type=application%2Fx-zipcompressed&fsize=125321&hid=55f9bf6011b0cf502608aaa412770ce5&media_type=compressed &tknv=v2 Per la natura della campagna in corso non si esclude che altre URL possano essere state usate in precedenza e nuove potrebbero essere utilizzate nel brevissimo periodo. Nell elenco sopra riportato si sono evidenziati elementi comuni delle due URL al fine di effettuare controlli mirati sui log di navigazione e/o blocchi di traffico mirati su specifici pattern. Il file contenuto nell archivio, si presenza con l icona propria di un file PDF leggibile con i prodotti Adobe. Tuttavia il file è un eseguibile. Figura 2 File Bolletta.exe Si noti che nei sistemi impostati per nascondere le estensioni dei file noti, le possibilità di trarre in inganno una potenziale vittima potrebbe aumentare. 3 di 6

5 Indici di Compromissione File Sono state rilevate tre versioni differenti del file. Di seguito i dettagli: Versione 1 Bolletta.zip: MD5 archivio zip: 9d8e5923afb9ec45f34fb3f06b421e78 Bolletta.exe: o Dimensioni: KB o MD5: 83acee48ee772c d96d5c668d o VirusTotal [4/55] Versione 2 Bolletta.zip: MD5 archivio zip: 91ed639796c851e7b3285b31a1ce2c22 Bolletta.exe: o Dimensioni: KB o MD5: 1fd c64158cf2f2a c o VirusTotal [16/56] Versione 3 Bolletta.zip MD5 archivio zip: ed49245bcae0717edd5e1310fec0d873 Bolletta.exe: o Dimensioni: KB o MD5: ada9834aa07173c054dde79a5 o VirusTotal [3/54] 4 di 6

Indirizzi di C&C rilevati Dalle analisi di laboratorio sono stati rilevati due nomi a dominio corrispondenti ad altrettanti server di Command & Control. Di seguito il dettaglio: *.vitrok.org o 78.24.

6 Indirizzi di C&C rilevati Dalle analisi di laboratorio sono stati rilevati due nomi a dominio corrispondenti ad altrettanti server di Command & Control. Di seguito il dettaglio: *.vitrok.org o o o *.grebjn.org o È stato verificato che per entrambi i nomi a dominio è attiva la wildcard per i domini di terzo livello. Le diverse risoluzioni IP del dominio vitrok.org sono state rilevate nell arco di circa una giornata lavorativa. Non si esclude che altri IP possano essere coinvolti. Si sottolinea che tutte le chiamate agli indirizzi di C&C sono avvenute su un dominio di terzo livello dei due riportati sopra. Le versioni analizzate in laboratorio hanno prodotto ulteriore traffico verso le seguenti URL, da cui il malware scarica l avviso di cui all immagine seguente: hxxp[:]//vrvis6ndra5jeggj.liveonlinevide.ch/r0x4m88.php?user_code=omissis&user_pass=omissis hxxp[:]//vrvis6ndra5jeggj.onlinerpg.ch/r0x4m88.php?user_code=omissis&user_pass=omissis Figura 3 - Avviso Cryptolocker 5 di 6

7 Cenni di analisi comportamentale È stato rilevato un comportamento diverso nel caso in cui il malware venga eseguito con diritti amministrativi o meno. Qualora il malware venga eseguito ad un utenza con diritti amministrativi, il file crea una copia di se stesso nella directory di sistema C:/Windows/ con nome casuale ed avvia la cifratura dei file presenti in tutti i profili utente della macchina target. In caso contrario, eseguendo il malware con un utenza non amministrativa, la cifratura viene applicata ai soli file contenuti nel profilo dell utente corrente. I file vengono cifrati con estensione *.encrypted. Ulteriori analisi sono in corso. 6 di 6

Documenti analoghi

ID: CERT-PA-B Data: 09/12/2015

ID: CERT-PA-B Data: 09/12/2015 Bollettino: Nuova variante Cryptolocker ID: Data: 09/12/2015 AVVERTENZE Il documento ha lo scopo di fornire alle Amministrazioni accreditate il quadro di riferimento degli scenari di minaccia rilevati