Il ransomware peculiare che si è portato via dal grande hack cinese

Quando Microsoft ha rivelato All’inizio di questo mese che le spie cinesi avevano intrapreso una storica follia di hacker, gli osservatori temevano ragionevolmente che altri criminali avrebbero presto cavalcato le code di quel gruppo. In effetti, non ci volle molto: un nuovo ceppo di ransomware chiamato DearCry ha attaccato i server di Exchange utilizzando le stesse vulnerabilità già nel 9 marzo. Mentre DearCry è stato il primo sulla scena, a un esame più attento si è rivelato essere un po ‘uno strano crimine informatico.

Non è che DearCry sia straordinariamente sofisticato. In effetti, rispetto alle operazioni lisce che permeano il mondo del ransomware oggi, è praticamente rozzo. È semplice, per esempio, evitare un server di comando e controllo e timer automatici per il conto alla rovescia a favore dell’interazione umana diretta. Manca delle tecniche di offuscamento di base che renderebbero più difficile per i difensori della rete individuare e bloccare preventivamente. Crittografa anche alcuni tipi di file che rendono più difficile per una vittima utilizzare il proprio computer, anche per pagare il riscatto.

“Normalmente un utente malintenzionato ransomware non crittografa gli eseguibili oi file DLL, perché impedisce alla vittima di utilizzare il computer, oltre a non essere in grado di accedere ai dati”, afferma Mark Loman, direttore dell’ingegneria per le tecnologie di nuova generazione presso la società di sicurezza Sophos . “L’aggressore potrebbe voler consentire alla vittima di utilizzare il computer per trasferire i bitcoin.”

Un’altra ruga: DearCry condivide alcuni attributi con WannaCry, il famigerato worm ransomware che si è diffuso senza controllo nel 2017 fino a quando il ricercatore di sicurezza Marcus Hutchins ha scoperto un “kill switch” che lo ha neutralizzato in un istante. C’è il nome, per esempio. Sebbene non sia un worm, DearCry condivide alcuni aspetti comportamentali con WannaCry. Entrambi fanno una copia di un file mirato prima di sovrascriverlo con parole incomprensibili. E l’intestazione che DearCry aggiunge ai file compromessi rispecchia quella di WannaCry in certi modi.

I parallelismi ci sono, ma probabilmente non vale la pena leggerli molto. “Non è affatto raro che gli sviluppatori di ransomware utilizzino frammenti di altri ransomware più famosi nel proprio codice”, afferma Brett Callow, analista delle minacce presso la società di antivirus Emsisoft.

Ciò che è insolito, dice Callow, è che DearCry sembra aver iniziato rapidamente prima di svanire e che i giocatori più grandi nello spazio dei ransomware apparentemente non sono ancora saltati sulle vulnerabilità del server Exchange.

C’è sicuramente una disconnessione in gioco. Gli hacker dietro DearCry hanno svolto un lavoro straordinariamente rapido nel reverse engineering dell’exploit di hacking in Cina, ma non sembrano particolarmente abili nel creare ransomware. La spiegazione può essere semplicemente una questione di set di abilità applicabili. “Lo sviluppo e l’armamento degli exploit è un mestiere molto diverso dallo sviluppo di malware”, afferma Jeremy Kennelly, senior manager dell’analisi presso Mandiant Threat Intelligence. “Può semplicemente essere che gli attori che hanno rapidamente armato quell’exploit semplicemente non siano collegati all’ecosistema del crimine informatico nello stesso modo in cui lo sono altri. Potrebbero non avere accesso a nessuno di questi grandi programmi di affiliazione, queste famiglie di ransomware più solide “.

Pensala come la differenza tra un maestro della griglia e un pasticcere. Entrambi si guadagnano da vivere in cucina, ma hanno abilità notevolmente diverse. Se sei abituato a bistecare ma hai un disperato bisogno di fare un petit four, è probabile che ti venga in mente qualcosa di commestibile ma non molto elegante.

Quando si tratta delle carenze di DearCry, Loman dice: “Ci fa credere che questa minaccia sia effettivamente creata da un principiante o che questo sia un prototipo di un nuovo ceppo di ransomware”.

Il che non significa che non sia pericoloso. “L’algoritmo di crittografia sembra essere valido, sembra funzionare”, afferma Kennelly, che ha esaminato il codice del malware ma non si è occupato direttamente di un’infezione. “Questo è davvero tutto ciò che deve fare.”

Lascia un commento

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *