Gli esperti di Kaspersky Lab hanno scoperto una nuova versione del ransomware RAA, un malware interamente scritto in JScript.
Il nuovo trojan invia alle vittime un archivio zip che contiene un file .js nocivo. La versione aggiornata può inoltre effettuare la crittografia offline, senza dover richiedere una chiave al server di comando e controllo. Gli esperti di Kaspersky Lab credono che, usando questa versione del malware, i cyber criminali si concentreranno maggiormente nel prendere di mira vittime aziendali.
Il ransomware RAA è apparso nel panorama delle minacce a giugno 2016 ed è stato il primo ransomware conosciuto interamente scritto in JScript. Ad agosto, gli esperti di Kaspersky Lab ne hanno trovato una nuova versione. Proprio come nella precedente, il malware viene distribuito via email, ma ora il codice nocivo è nascosto in un archivio zip protetto da password che viene inviato in allegato. Questa misura è stata implementata dai criminali principalmente per ingannare le soluzioni anti-virus rendendo il contenuto dell’archivio protetto più difficile da esaminare.
Analizzando le email, gli esperti di Kaspersky Lab hanno concluso che i cyber criminali stanno prendendo di mira le aziende invece dei comuni utenti, usando email nocive contenenti informazioni su un ordine di pagamento di un fornitore in ritardo. Per far sembrare le email più autentiche, i criminali affermavano che, per motivi di sicurezza, il file allegato era stato protetto (la password per l’archivio veniva fornita in fondo all’email) e ulteriormente difeso tramite crittografia asimmetrica. Questa affermazione suona assurda agli utenti più esperti, ma fa affidamento sulle vittime più ingenue.
Il restante processo d’infezione sembra simile a quello della precedente versione del ransomware RAA. La vittima esegue un file .js, che avvia il processo nocivo. Per distrarre la vittima, il trojan mostra un falso documento di testo che contiene una serie casuale di caratteri. Mentre la vittima cerca di capire cosa stia succedendo, in background RAA cripta i file sulla macchina. Infine, il ransomware crea una richiesta di riscatto sul desktop e tutti i file criptati mostrano la nuova estensione .locked.
Rispetto alla versione precedente, la principale differenza ora è che RAA non ha bisogno di comunicare con il server C&C per criptare i file sul PC della vittima, come faceva prima. Invece che chiedere una master key al server di comando e controllo, il trojan la genera, cripta e archivia sulla macchina infetta. I cyber criminali hanno la chiave per decriptare la singola master key e, una volta pagato il riscatto, chiedono all’utente di inviare loro la master key criptata, che viene poi restituita decriptata alla vittima, insieme a una parte del software di decriptazione. Questo schema è stato ovviamente implementato per permettere al malware di criptare le macchine anche offline, nello stesso modo di quando sono connesse a Internet.
Inoltre, insieme al ransomware RAA, la vittima riceve anche il trojan Pony, che è in grado di rubare le password da tutti i client email, compresi quelli corporate, e le invia a un criminale che opera da remoto. Avere queste password significa che i cyber criminali possono potenzialmente diffondere il loro malware per conto degli utenti infettati, convincendo con più facilità la vittima successiva della legittimità dell’email. Dall’email aziendale della vittima, il malware può venire diffuso a tutta la sua lista di contatti, da cui i criminali possono anche selezionare i contatti di interesse e condurre attacchi mirati.
“Crediamo che il trojan RAA sia stato creato per condurre attacchi mirati alle aziende. La combinazione di ransomware e password stealer rappresenta un mix pericoloso nelle mani dei cyber criminali, che aumenta le probabilità di ottenere denaro: prima dal riscatto che l’azienda paga per decriptare i dati e poi dalle nuove potenziali vittime che possono venire prese di mira usando le credenziali ottenute con il trojan Pony. Inoltre, permettendo la criptazione offline, aumenta ulteriormente la pericolosità della nuova versione di RAA”, ha commentato Fedor Sinitsyn, Senior Malware Analyst at Kaspersky Lab.
Per limitare il rischio d’infezione, le aziende dovrebbero seguire i seguenti consigli:
· Usare tecnologie di protezione endpoint e soluzioni antivirus efficaci, assicurandosi che siano attivate tutte le “funzionalità euristiche”.
· Educare gli impiegati dell’azienda a fare più attenzione.
· Aggiornare sempre i software sulle macchine dell’azienda.
· Condurre regolarmente verifiche di sicurezza.
· Fare attenzione alle estensioni dei file prima di aprirli. Quelli potenzialmente pericolosi includono le estensioni: .exe, .hta, .wsf, .js, e così via.
· Usare il senso comune e analizzare le email che provengono da mittenti sconosciuti.
Attualmente, il ransomware RAA viene diffuso tra gli utenti di lingua russa, come è dimostrato dalla nota per il riscatto in russo. Tuttavia, potrebbe non volerci molto prima che i suoi programmatori decidano di diffonderlo a livello globale.
I prodotti Kaspersky Lab rilevano tutte le varianti conosciute del ransomware RAA e il password stealer Pony con i seguenti nomi: Trojan-Ransom.JS.RaaCrypt, Trojan-PSW.Win32.Tepfer.