GandCrab: il nuovo ransomware Dash che è in circolazione

L’anno scorso sembrava l’anno del ransomware. Abbiamo visto la proliferazione di Wannacry, Bad Rabbit e Petya per citarne alcuni. Questi attacchi hanno paralizzato i computer su tutta la linea, dalle aziende agli ospedali.

Ora, sembra che il flagello del ransomware sia ancora vivo e forte nel 2018.

Un nuovo tipo di ransomware chiamato “GandCrab” sta facendo il giro e infliggendo danni. Questo ceppo, di origine russa, è interessante anche nel senso che è uno dei pochi tipi di “ransomware as a service”.

Un’altra cosa interessante di GandCrab è che utilizza la criptovaluta DASH invece di Bitcoin. Ciò è probabilmente dovuto alla difficoltà derivante dal monitoraggio di questi pagamenti.

Diamo uno sguardo più approfondito all’ultima minaccia e a cosa puoi fare per evitarla.

Cos’è GandCrab?

GandCrab è un ransomware diffuso attraverso due kit di exploit, ovvero RIG EK e GrandSoft EK. È stato scoperto per la prima volta all’inizio di quest’anno il 26 gennaio. Di seguito il tweet del ricercatore in questione.

Da allora il ransomware ha guadagnato molta più attenzione nei circoli della sicurezza informatica e sono state fatte più ricerche su di esso. Una di queste aziende era LMNTRIX che ha sede in Australia. Hanno anche approfondito i forum di darkweb per determinare come viene distribuito il ransomware.

Questo funziona come uno dei pochi attacchi “ransomware as a service”. In sostanza, gli aggressori opereranno su una struttura di affiliazione in cui gli sviluppatori riceveranno una percentuale del taglio dagli affiliati. Gli sviluppatori del ransomware offrono correzioni illimitate e supporto tecnico per il codice.

Offrono anche a partner speciali più grandi l’opportunità di ottenere un taglio migliore dal tipico 60:40 a un più redditizio 70:30. Tale è la natura di questa offerta criminale che hanno persino rilasciato un file Youtube video che accompagna i partner attraverso l’impostazione del ransomware.

Ci sono poche restrizioni su dove gli utenti possono operare, tuttavia non sono autorizzati a rivolgersi ai cittadini dei paesi dell’ex Unione Sovietica. Ciò è molto probabilmente dovuto al fatto che gli operatori e i server si trovano in questi paesi.


Come funziona?

Il ransomware GandCrab utilizza i noti kit di exploit Rig e Grandsoft. Questi sono stati conosciuti per fornire malware in passato attraverso siti Web compromessi. Sono stati utilizzati solo una volta prima per un payload di malware.

Inoltre è stato recentemente segnalato da MalwareBytes Labs che il payload GandCrab viene distribuito anche tramite posta indesiderata EITest e Necurs. Quest’ultimo chiederà all’utente di scaricare una fattura in formato pdf per la sua attenzione.

GandCrab E-mail dannosa pdf

E-mail con PDF dannoso. Fonte: bleepingcomputer.com

Nel momento in cui l’utente scarica il pdf, sarà tenuto a completare un captcha nel file pdf. Una volta fatto, creerà un file word dannoso che richiederà all’utente di attivare le macro. Se l’utente lo fa, attiverà una macro che eseguirà uno script PowerShell.

Questo avvierà quindi il GandCrab ransomware e inizierà a connettersi ai server di comando e controllo (che utilizzano domini .bit). Crittograferà i file degli utenti e verrà fornito loro un URL .onion a cui potranno accedere alla pagina del riscatto. Di seguito è la pagina in questione che richiede 1.5 DASH.

Nota sul ransomware GandCrab

Schermata della nota di riscatto. Fonte: malwarebytes.com

Come si vedrebbe con campagne di ransomware simili, il prezzo della decrittazione aumenterà dopo un certo periodo di tempo. Questo viene fatto per indurre l’urgenza da parte delle vittime. Agli attuali prezzi di mercato, la decrittazione costerebbe $ 1.050. Questo è considerevolmente più dei prezzi nei precedenti attacchi che hanno richiesto in Bitcoin.

DASH ha implementato una serie di protocolli di miglioramento della privacy che cercano di nascondere le transazioni in questione. Ad esempio, usano qualcosa chiamato Darksend mixing che mescolerà tutte le tue monete con altre sulla blockchain. Questo potrebbe aiutare quando si tratta di autorità che monitorano le transazioni.

Lezioni da apprendere

Probabilmente è ovvio che non dovresti scaricare documenti PDF da persone con cui non hai familiarità. Questo dovrebbe essere il segno rivelatore di un exploit dannoso che qualcuno sta cercando di ottenere sul tuo PC.

Per quanto riguarda gli altri vettori di exploit utilizzati da GandCrab, dovresti evitare i siti Web a cui sei stato reindirizzato inconsapevolmente. Cerca di evitare di fare clic su collegamenti ad annunci sospetti.

Infine, e soprattutto, l’installazione di programmi antivirus efficaci aiuterebbe a identificare gli exploit. Spesso, l’utente è l’anello più debole in un attacco ransomware.

Immagine in primo piano tramite Fotolia & Dash

Mike Owergreen Administrator
Sorry! The Author has not filled his profile.
follow me
Like this post? Please share to your friends:
Adblock
detector
map