Scoperto un nuovo eseguibile di ransomware che abusa del nome della società di sicurezza Sophos: a individuarlo è stato proprio un analista di Sophos X-Ops che lo ha rilevato sotto il nome “Sophos” nell’interfaccia utente del pannello che avvisa che i file sono stati cifrati e nell’estensione (“.sophos”) degli stessi.
Gli esperti dei SophosLabs hanno immediatamente indagato e iniziato a lavorare allo sviluppo di una regola di rilevamento mirato per i prodotti di sicurezza endpoint Sophos, ma una regola comportamentale preesistente (unitamente a Sophos CryptoGuard) ha impedito al ransomware di causare danni nei test.
L’eseguibile del ransomware stesso, compilato con MinGW e contenente librerie Rust collegate, è insolitamente antiquato in riferimento alle funzionalità che sembra possedere, spiega Sophos. Nella maggior parte degli incidenti di ransomware, gli aggressori che costruiscono il ransomware creano uno strumento che ha come scopo esplicito ed esclusivo la crittografia dei file, senza includere molte altre funzionalità. I registri di VirusTotal su questi file e l’analisi indicano invece che uno dei campioni di questo ransomware ha la capacità di fare molte cose oltre alla crittografia dei file, cosa alquanto insolita. Inoltre, il ransomware sembra enfatizzare i metodi di comunicazione tra l’obiettivo e l’aggressore che la maggior parte dei gruppi di ransomware non utilizza più, ossia l’e-mail e la piattaforma di messaggistica istantanea Jabber.
In effetti, le capacità di uno di questi file si avvicinano di più a quelle di un trojan di accesso remoto (RAT) generico, capace di crittografare i file e generare queste note di riscatto, rispetto a quelle di un eseguibile ransomware contemporaneo. Tali capacità includono l’aggancio del driver della tastiera per la registrazione dei tasti e la profilazione del sistema tramite comandi WMI. Come molti altri ransomware esclude un elenco di directory che impedirebbero l’avvio del sistema o che contengono file non importanti se venissero crittografati. Il ransomware controlla anche le impostazioni della lingua del sistema e si rifiuta di eseguire nel caso sia impostato per utilizzare la lingua russa.
L’altro campione presenta un numero minore di queste funzionalità non ransomware, tuttavia, entrambi si connettono via Internet a un indirizzo di server di comando e controllo. La connessione fa riferimento a un indirizzo del dark web Tor (.onion), ma i campioni di ransomware analizzati non effettuano effettivamente una connessione Tor. Inoltre, entrambi i campioni contengono un indirizzo IP codificato (a cui gli esperti hanno visto connettersi i campioni), associato per più di un anno sia agli attacchi Cobalt Strike command-and-control, sia a quelli automatizzati che tentano di infettare i computer connessi a Internet con software di cryptomining.
Entrambi i campioni sono destinati ad essere eseguiti nella riga di comando di Windows. Quando viene eseguito nell’applicazione del prompt dei comandi di Windows, il ransomware chiede all’utente (“utente” in questo caso significa il criminale che sta distribuendo il ransomware, non il proprietario del computer) di inserire una serie di informazioni che configurano il suo comportamento e il contenuto della nota di riscatto che alla fine rilascia.
Il programma chiede di inserire una “password criptata (32 caratteri)” seguita da un “token”, un indirizzo e-mail ed un indirizzo di account di messaggistica istantanea Jabber. Una volta inserite queste informazioni, il programma chiede di selezionare un’opzione per crittografare tutti i file sul disco rigido, di crittografare una singola lettera di unità, oppure di uscire dal programma.
Se l’utente sceglie l’opzione “singolo” o “tutti”, quando il ransomware completa l’operazione di crittografia, rinomina i file cifrati utilizzando il valore “token” nel nome del file rinominato. L’indirizzo e-mail e l’indirizzo Jabber vengono aggiunti alla nota di riscatto, che è un’applicazione HTML (file .hta) scaricata in qualsiasi directory in cui è avvenuta la crittografia.
Il file .hta visualizza semplicemente la nota di riscatto, personalizzata con l’indirizzo e-mail e altre informazioni fornite dall’aggressore all’inizio dell’attacco e contiene le informazioni sull’e-mail e sull’ID jabber incorporati.
Il ransomware aggiunge a ogni file che codifica alla fine del processo un identificativo univoco della macchina, l’indirizzo e-mail inserito durante l’installazione e il suffisso “.sophos”.
Se il processo di cifratura viene interrotto prima del suo completamento, il ransomware non lascia una nota di riscatto e neppure cambia l’immagine dello sfondo con quella ottenuta dal server di immagini pubbliche.
Il ransomware recupera anche una grafica da un sito web di libreria di immagini pubbliche e la utilizza per cambiare lo sfondo del desktop di Windows in una schermata con la scritta “Sophos”. L’immagine non riproduce i loghi, i colori o il marchio di Sophos, ma presenta invece il logo di un lucchetto verde e le istruzioni su come la vittima possa trovare e utilizzare la nota di riscatto per contattare gli aggressori.
Quando viene eseguito nella console, il ransomware produce un lungo elenco di ciò che sembra essere una registrazione di debug, riportando il tempo impiegato, espresso in millisecondi, per cifrare ogni file trovato.
I test del ransomware hanno anche rivelato che questo tenta di convalidare l’autorizzazione dell’utente e di servirsene quando viene eseguito su un computer connesso alla rete. Nei test di Sophos, il ransomware è stato capace di eseguire operazioni di cifratura anche quando è stato eseguito su un computer non connesso a Internet.
Le schede delle proprietà degli eseguibili del ransomware indicano trattarsi rispettivamente delle versioni 0.0.8 e 0.0.9 del programma. Nessuno dei due eseguibili è firmato ed entrambi richiedono l’elevazione tramite UAC quando vengono avviati.
Il comportamento iniziale del ransomware prevede che il cyber criminale inserisca un “token”. Il ransomware esegue una piccola profilazione del sistema del computer, recupera l’indirizzo IP pubblico della rete dell’obiettivo ed esegue una richiesta HTTP POST all’indirizzo IP 179.43.154.137 sulla porta 21119/tcp che trasmette il token e le informazioni di profilazione del computer. La sessione non è criptata.
Gli esperti di Sophos hanno osservato questi campioni solo in un repository pubblico di malware, ma non sono stati visti in uso da un attaccante.
Sophos ha pubblicato degli IOC relativi a questo malware su SophosLabs Github e continuerà a monitorare l’uso di questo ransomware in natura.
https://news.sophos.com/it-it/2023/07/26/sophos-scopre-un-ransomware-che-abusa-del-nome-sophos/