L’ultimo attacco del Petya ha destato molto scalpore e ha suscitato l’attenzione dei media, tuttavia non può essere considerato un episodio isolato: questo è l’ultimo di una serie di attacchi simili in Ucraina. In questo articolo analizzeremo i dettagli di questo nuovo Diskcoder.C.
Figura 1 – La sequenza temporale degli attacchi in Ucraina.
TeleBots
Nel dicembre del 2016 abbiamo pubblicato due post dedicati agli attacchi lanciati dal gruppo di hacker che gli esperti ESET hanno chiamato Telebots, analizzando in primo luogo una variante per Linux del malware KillDisk utilizzata per colpire gli istituti finanziari e in secondo luogo il BlackEnergy responsabile del famoso blackout in Ucraina nel dicembre del 2015.
Nella fase finale dei suoi attacchi, il gruppo TeleBots utilizza sempre il malware KillDisk, in grado di sovrascrivere i file con specifiche estensioni sui dischi delle vittime. Dobbiamo precisare che i soldi del riscatto non sono mai stati la priorità assoluta per questi criminali. Il malware KillDisk utilizzato nella prima ondata di attacchi dicembre 2016, invece di cifrare i file semplicemente ne sovrascriveva una parte. Inoltre, non forniva alcuna informazione di contatto per comunicare con l’attaccante, ma semplicemente visualizzava un’immagine dallo show televisivo Mr. Robot.
Figura 2 – L’immagine visualizzata dal malware KillDisk nella prima ondata di attacchi dicembre 2016.
Nella seconda ondata di attacchi, i sabotatori informatici responsabili del malware KillDisk hanno aggiunto le informazioni di contatto per il malware, rendendolo di fatto un tipico attacco ransomware. Tuttavia, i criminali hanno chiesto una quantità esagerata di bitcoin: 222 BTC (a quel tempo circa 250.000 $). Ciò potrebbe indicare che non fossero interessati ai bitcoin, ma che il loro vero scopo fosse causare danni alle aziende attaccate.
Figura 3 – La domanda visualizzata dal KillDisk nella seconda ondata di attacchi a dicembre 2016 .
Nel 2017, il gruppo TeleBots non ha interrotto i propri attacchi informatici, anzi li ha resi più sofisticati. Nel periodo compreso tra gennaio e marzo 2017, questi criminali hanno colpito e compromesso una società di software in Ucraina e, utilizzando dei tunnel VPN, hanno ottenuto l’accesso alle reti interne di diverse istituzioni finanziarie.
Durante questo attacco, i TeleBots hanno migliorato le funzionalità del loro malware aggiungendo due componenti ransomware.
La prima è una backdoor standard che utilizza le API della Bot Telegram per ricevere comandi da remoto e inviare risposte, tale componente è stata ideata riprogrammando il famoso malware Python utilizzando il linguaggio Rust.
Figura 4 – codice del trojan Win32 / TeleBot.AB.
Nel secondo caso si tratta ugualmente di una backdoor, scritta in VBS, configurata utilizzando il programma script2exe e offuscata in maniera molto elaborata, ma conservando la medesima funzionalità presente nei precedenti attacchi.
Figura 5 – La versione offuscata della backdoor VBS.
Questa volta la backdoor VBS ha utilizzato il server C & C sull’indirizzo 130.185.250 [.] 171. Per effettuare i collegamenti in modo da non insospettire il personale addetto a controllare i log del firewall, i criminali hanno registrato il dominio [.] Ua transfinance.com assegnandogli quell’indirizzo IP. Come è evidente dalla figura 6 a questo server è stato assegnato il relay Tor severalwdadwajunior.
Figura 6 – Informazioni sul relay Tor gestito dal gruppo TeleBots.
L’attaccante utilizza inoltre i seguenti strumenti:
· CredRaptor (per sottrarre le password)
· Plainpwd (una versione di Mimikatz modificata e utilizzata per il recupero delle credenziali di Windows dalla memoria)
· PsExec di SysInternals (utilizzato per il movimento laterale del malware)
Come accennato in precedenza, nella fase finale dei loro attacchi, i TeleBots hanno diffuso il componente ransomware utilizzando credenziali di Windows rubate grazie a PsExec SysInternals’. Questo nuovo ransomware è stato rilevato dai prodotti ESET come Win32 / Filecoder.NKH. Una volta eseguito, questo malware codifica tutti i file (ad eccezione di quelli posti nella cartella C: \ Windows) utilizzando la chiave AES-128 e gli algoritmi RSA-1024. Infine il ransomware aggiunge l’estensione .xcrypted ai file crittografati.
Terminata la fase di crittografia questo filecoder crea un documento di testo readme.txt con il seguente contenuto:
Please contact us: openy0urm1nd@protonmail.ch
Oltre ai sistemi operativi Windows il gruppo TeleBots ha utilizzato un ransomware specifico per i server Linux. Questa minaccia viene rilevata dalle soluzioni ESET come Python / Filecoder.R e, come prevedibile è stato scritto usando il linguaggio di programmazione Python. In questo caso i criminali hanno sfruttato strumenti di terze parti come ad esempio OpenSSL per crittografare i file. La crittografia è stata completata usando gli algoritmi RSA-2048 e AES-256.
Figura 7 – codice Python del ransomware Linux Python / Filecoder.R usata dal gruppo TeleBots.
Nel codice script di Python, gli hacker hanno lasciato questo loro commento testuale:
Risposte: openy0urm1nd [@] protonmail.ch
Win32 / Filecoder.AESNI.C
Il 18 maggio 2017, abbiamo notato una nuova attività da parte di un’altra famiglia ransomware Win32 / Filecoder.AESNI.C (noto anche come XData).
Questo ransomware è stato diffuso soprattutto in Ucraina, grazie a un interessante vettore. Secondo la nostra telemetria LiveGrid®, il malware ha infettato i sistemi subito dopo l’esecuzione del software Medoc, ampiamente utilizzato in Ucraina dal personale amministrativo.
Il Win32 / Filecoder.AESNI.C aveva un meccanismo di diffusione che gli ha consentito di eseguirsi automaticamente all’interno della LAN delle società colpite. In particolare, il malware incorporava la DLL Mimikatz che è stata usata per ottenere le credenziali dell’account di Windows dalla memoria dei PC compromessi. Con queste credenziali, il malware ha iniziato a diffondersi all’interno della sua rete utilizzando l’utility PsExec SysInternals’.
Sembra che i criminali non abbiano raggiunto il loro obiettivo in quell’occasione o, secondo un’altra ipotesi, abbiano solo voluto provare l’efficacia del malware prima di un colpo più importante.
ESET ha pubblicato uno strumento di decodifica dedicato al ransomware Win32 / Filecoder.AESNI, riportato anche su diversi media internazionali.
Diffusione del Diskcoder.C (o Petya)
Senza nulla togliere alla pericolosità di quest’ultima variante di Filecoder, sicuramente una maggiore attenzione a livello globale l’ha suscitata il recente attacco del 27 Giugno che ha visto protagonista il malware Petya.
Questo famigerato ransomware attacca l’MBR (Master Boot Record) del disco, una parte fondamentale del sistema di avvio che contiene le informazioni sulle partizioni del disco rigido e aiuta ad avviare il sistema operativo. Se il malware infetta con successo l’MBR, sarà crittografato l’intero disco, in caso contrario saranno crittografati tutti i file.
Figura 8 – Falso messaggio CHKDSK visualizzato da Diskcoder.C.
Il nuovo malware sembra utilizzare una combinazione dell’exploit EternalBlue utilizzato in precedenza da WannaCryptor, che sfrutta la vulnerabilità del Service Message Block (SMB) di Windows per infiltrarsi all’interno della rete, carpire le credenziali dei PC ad essa collegati e diffondersi attraverso l’utility PsExec scritta originariamente dagli sviluppatori di Windows Sysinternals.
Figura 9 – messaggio Diskcoder.C con le istruzioni di pagamento.
Questa potente combinazione è probabilmente il motivo per cui l’epidemia si è diffusa rapidamente, nonostante dopo l’attacco di WannaCry la maggior parte delle vulnerabilità avrebbero dovuto essere risolte tramite l’applicazione delle patch di sicurezza.
Figura 10 – Elenco delle estensioni dei file codificati da Diskcoder.C.
E’ sufficiente infatti un solo computer privo di questi specifici aggiornamenti per dare accesso al malware che, una volta assunti i diritti di amministratore, si diffonderà su altri computer.
Come probabili vettori dell’infezione sembrerebbe siano stati sfruttati il sistema di aggiornamento automatico del software ucraino MeDoc, che una volta compromesso ha inviato aggiornamenti infetti agli utenti finali, e l’apertura di allegati email .xls che attivano delle macro.
A questo punto occorrerebbe chiedersi perchè ci sono infezioni in altri paesi visto che l’obiettivo primario di questi malware erano le realtà Ucraine. La nostra indagine ha rivelato che le aziende infettate in altri paesi avevano connessioni VPN con le loro filiali in Ucraina o erano partner commerciali con le aziende del luogo.
Il vettore infezione iniziale
Sia Diskcoder.C che Win32 / Filecoder.AESNI.C sono stati diffusi tramite il software di contabilità ucraino chiamato Medoc.
Ci sono diverse possibilità per utilizzare questo programma per infettare i sistemi. Per esempio Medoc ha un sistema di messaggistica e scambio di documenti interno che potrebbe essere sfruttato dai criminali per inviare messaggi spearphishing alle vittime. A questo punto grazie a tecniche di social engineering è possibile indurre il destinatario a interagire con il messaggio e a eseguire il codice pericoloso.
Un altro metodo utilizzato è stato sfruttare gli aggiornamenti automatici di questo software per la contabilità, infatti il gruppo di hacker è riuscito ad accedere ai server dedicati alla loro distribuzione sostituendo gli update legittimi con una variante infetta riuscendo così a compromettere un elevatissimo numero di sistemi in Ucraina. Tuttavia, sembra che gli autori di malware avessero sottovalutato le capacità di diffusione di Diskcoder.C.
I ricercatori ESET hanno trovato la prova che sostiene questa teoria. Infatti abbiamo identificato una backdoor PHP che è stata distribuita attraverso medoc_online.php in una delle directory FTP presente sul server di Medoc.
Figura 11 – Inserzione di directory FTP contenente la backdoor PHP.
Secondo le nostre analisi ci sono segnali che il Diskcoder.C e il Win32 / Filecoder.AESNI.C non fossero le uniche famiglie di malware distribuite utilizzando tale vettore di infezione. Possiamo ipotizzare che questi aggiornamenti malevoli siano stati diffusi in modo nascosto così da infettare reti di computer che appartengono a obiettivi di alto valore.
Conclusioni
Il gruppo TeleBots continua a migliorarsi nel tentativo di condurre attacchi sempre più distruttivi contro l’Ucraina. Le ultime prove dimostrano come abbiano abbandonato i messaggi di spearphishing con allegati pericolosi, per adottare un sistema più sofisticato conosciuto come supply-chain. Inizialmente il gruppo Telebots voleva colpire principalmente il settore finanziario, poi hanno deciso di mirare alle imprese in Ucraina, ma a quanto pare stanno sottovalutando la capacità di diffusione del loro malware e per questo motivo adesso la situazione sembra sia sfuggita al loro controllo.
Indicatori di infezione (IOC)
Nomi di rilevazione ESET:
Win32 / TeleBot trojan
VBS / Agent.BB trojan
VBS / Agent.BD trojan
VBS / Agent.BE trojan
Win32 / PSW.Agent.ODE trojan
Win64 / PSW.Agent.K trojan
Python / Filecoder.R trojan
Win32 / Filecoder.AESNI. C trojan
Win32 / Filecoder.NKH trojan
Win32 / Diskcoder.C trojan
Win64 / applicazione Riskware.Mimikatz
Win32 / applicazione RiskWare.Mimikatz
C & C server:
transfinance.com ua [.] (IP: 130.185.250.171)
bankstat.kiev ua (IP: 82.221.128.27) [.]
www.capital-investing.com ua (IP: 82.221.131.52) [.]
Server legittimi corrotti dagli autori del malware:
api.telegram.org (IP: 149.154.167.200, 149.154.167.197, 149.154.167.198, 149.154.167.199)
VBS backdoor:
1557E59985FAAB8EE3630641378D232541A8F6F9
31098779CE95235FED873FF32BB547FFF02AC2F5
CF7B558726527551CDD94D71F7F21E2757ECD109
Mimikatz:
91D955D6AC6264FBD4324DB2202F68D097DEB241
DCF47141069AECF6291746D4CDF10A6482F2EE2B
4CEA7E552C82FA986A8D99F9DF0EA04802C5AB5D
4134AE8F447659B465B294C131842009173A786B
698474A332580464D04162E6A75B89DE030AA768
00141A5F0B269CE182B7C4AC06C10DEA93C91664
271023936A084F52FEC50130755A41CD17D6B3B1
D7FB7927E19E483CD0F58A8AD4277686B2669831
56C03D8E43F50568741704AEE482704A4F5005AD
38E2855E11E353CEDF9A8A4F2F2747F1C5C07FCF
4EAAC7CFBAADE00BB526E6B52C43A45AA13FD82B
F4068E3528D7232CCC016975C89937B3C54AD0D1
Win32 / TeleBot:
A4F2FF043693828A46321CCB11C5513F73444E34
5251EDD77D46511100FEF7EBAE10F633C1C5FC53
Win32 / PSW.Agent.ODE (CredRaptor):
759DCDDDA26CF2CC61628611CF14CFABE4C27423
77C1C31AD4B9EBF5DB77CC8B9FE9782350294D70
EAEDC201D83328AF6A77AF3B1E7C4CAC65C05A88
EE275908790F63AFCD58E6963DC255A54FD7512A
EE9DC32621F52EDC857394E4F509C7D2559DA26B
FC68089D1A7DFB2EB4644576810068F7F451D5AA
Win32 / Filecoder.NKH:
1C69F2F7DEE471B1369BF2036B94FDC8E4EDA03E
Python / Filecoder.R:
AF07AB5950D35424B1ECCC3DD0EEBC05AE7DDB5E
Win32 / Filecoder.AESNI.C:
BDD2ECF290406B8A09EB01016C7658A283C407C3
9C694094BCBEB6E87CD8DD03B80B48AC1041ADC9
D2C8D76B1B97AE4CB57D0D8BE739586F82043DBD
Win32 / Diskcoder.C:
34F917AABA5684FBE56D3C57D48EF2A1AA7CF06D
Shell PHP:
D297281C2BF03CE2DE2359F0CE68F16317BF0A86
Lascia un commento