Ransomware: Tutto sta andando a peggiorare prima c’è di meglio
Ransomware è già un problema enorme. E cosa si profila all’orizzonte è ancora più preoccupante.
Una nuova forma di ransomware che è stato avvistato in natura si serve di ciò che i ricercatori chiamano “overkill” livelli di crittografia per dirottare i sistemi infetti.
Questa settimana, FortiGuard Labs ha detto che la nuova variante, nota come Nemty, è stata recentemente condivisa come un campione da un Twitter bot che posti link PasteBin di codice malware.
Uno dei campioni condivisa dal bot, è stato pensato per il collegamento a un Sodinokibi ransomware variante, ma la fonte ha finito per essere una nuova famiglia di malware completamente.
Sodinokibi, noto anche come Sodin o REvil, è un malware in un costante stato di evoluzione e impiega tattiche che vanno da Windows zero-day exploit di compromesso software di gestione remota console per infettare i sistemi.
A causa della scoperta di una chiave che dà il ransomware di operatori la possibilità di decriptare i file indipendentemente dalla chiave pubblica e privata, impostazioni, è possibile che il malware viene offerto come ransomware-as-a-service (RaaS). I ricercatori hanno descritto in precedenza la somiglianza tra GandCrab e Sodinokibi codice.
Mentre un collegamento integrato nel binario di Nemty campione è stato anche utilizzato da GandCrab prima che l’operatore del “pensionamento” — avendo fatto i loro soldi-e il Nemty sembra essere distribuite attraverso gli stessi canali Sodinokibi, i ricercatori dicono che sono ancora dimostrare di essere un solido legame tra il trio.
Non è noto se o non Nemty ha qualche link di queste famiglie di malware al di là del binario di collegamento e distribuzione del Sodinokibi gruppo, ma è possibile che in fase iniziale ransomware potrebbe essere il malware più recente offerta di cyberattackers collegato a RaaS schemi.
Nemty sembra essere ancora in fase di sviluppo. Una pagina di pagamento è stato istituito nella rete Tor e 1000 $in Bitcoin (BTC) è richiesto in cambio di una chiave di decodifica per sbloccare i sistemi infetti.
Vedi anche: l’attività Finanziaria di impresa PCI condannata a pagare 1,5 milioni di dollari per la scarsa sicurezza informatica pratiche
Mentre c’è una funzione per inviare crittografato informazioni di configurazione da un computer di destinazione per il ransomware di comando e controllo (C2) server, al momento, l’indirizzo IP, destinati ad essere utilizzati per la C2 è solo un indirizzo di loopback.
“È possibile che, semplicemente, non è stato configurato un server operativo per ricevere i dati di sicurezza,” dicono i ricercatori.
Per crittografare un PC della vittima, Nemty utilizza la codifica base64 e la crittografia RC4. In una sprezzante jab in qualsiasi ricercatori reverse-engineering del codice, gli sviluppatori hanno utilizzato un russo frase, “f** * * kavx00”, come loro RC4 chiave di crittografia.
AES-128 in modalità CBC, RSA-2048 e RSA-8192 sono utilizzati per la crittografia di file e la generazione di chiavi. 32 byte di valore viene utilizzato come una chiave AES, RSA-2048 coppia di chiavi viene generato, e insolitamente, la crittografia RSA con 8192 bit di dimensione della chiave usata per cifrare sia i file di configurazione e una chiave privata.
CNET: Il pivot di privacy potrebbe venire con un $100 milioni di sovvenzione
FortiGuard Labs dice che 2048 e 4096 corde sono generalmente più che sufficienti, per crittografare e proteggere i messaggi, e quindi l’uso di un 8192 dimensione è “overkill e inefficiente per il suo scopo.”
“Utilizzando la chiave di maggiore dimensione si aggiunge una grande lavagna a causa significativamente più lungo per la generazione di chiavi di crittografia e i tempi di […] RSA-8192 può cifrare solo 1024 byte alla volta, anche meno se consideriamo riservato dimensioni per imbottitura,” i ricercatori fanno notare. “Dal momento che la configurazione dimensioni sarà sicuramente più di quello dovuto per il fatto che contiene la codifica della chiave privata, il malware tagli le informazioni in blocchi di 1000 (0x3e8) byte che esegue più operazioni di RSA-8192 fino a che tutta l’informazione è codificata.”
L’uso pesante di crittografia significa che è “praticamente impossibile” per decifrare un sistema compromesso, secondo la cybersecurity impresa. Questo è un peccato, come la decrittografia dei programmi offerti dalla sicurezza informatica delle imprese a volte può essere l’unico modo per recuperare i file persi a infezioni ransomware senza pagare.
TechRepublic: DNS di amplificazione aumento di attacchi da 1.000% a partire dal 2018
Ci sono problemi con il codice che indicano lo sviluppo potrebbe essere in corso, come il confronto di file ripetizione senza fine e l’inefficienza del metodo impiegato per la whitelist, alcune estensioni di file. Il malware può anche controllare per vedere se l’indirizzo IP del sistema si riferisce alla Russia, Bielorussia, Kazakistan, Tagikistan, o in Ucraina-ma nonostante il risultato, la crittografia continuerà.
Indicatori di affiliazione Id sepolto nella malware codice anche il punto di RaaS.
Nonostante i problemi con il codice e gli indicatori che Nemty è ancora in fase di sviluppo, i ricercatori dicono che è ancora possibile crittografare i sistemi in modo efficace, il malware è “una minaccia reale”, anche nel suo stato attuale. Infatti, come la relazione è stata in fase di ultimazione, una nuova variante di Nemty è stato trovato, il che potrebbe suggerire di distribuzione è in corso.
Precedente e relativa copertura
Skidmap malware seppellisce nel kernel per nascondere illeciti cryptocurrency di data mining
Cyberattackers pongono ora come dirigenti aziendali per garantire la sicurezza certificati
Se sei un Ristorante Depot, non aprire e-mail di phishing
Ha un suggerimento? Entrare in contatto in modo sicuro tramite WhatsApp | Segnale a +447713 025 499, o oltre a Keybase: charlie0
Argomenti Correlati:
Di sicurezza, TV
La Gestione Dei Dati
CXO
Centri Dati