CryptoWall: l'evoluzione di CryptoLocker

Il panorama italiano dei ransonware si è dotato di un nuovo componente, CryptoWall, evoluzione del più famoso CryptoLocker, recentemente messo in ginocchio da un operazione coordinata da varie polizie internazionli.

Attivo negli Stati Uniti fin da aprile 2014, con le prime vittime illustri nel maggio 2014, ora sembra aver preso di mira gli utenti italiani, complice anche il suo inserimento nell'exploit kit RIG.
Nell'ultima settimana sono molte le segnalazioni giunte a Yarix di infezioni che richiedono il pagamento di un riscatto mediante bitcoin da depositare in un sito raggiungibile solamente attraverso la rete TOR.

Riscatto in bitcoin

Il metodo di infezione risulta essere una mail contenente un allegato fraudolento, nella maggior parte dei casi un file che appare come PDF, contenente codice malevolo che scansiona l'intero filesystem, comprese le condivisioni di rete, e ne cripta il contenuto.
Una prima analisi sui valori entropici e sulla struttura del file criptato sembra suggerire l'utilizzo di un cifrario RSA con chiavi a 2048 bit, che elimina completamente la possibilità di attaccare la cifratura mediante tecniche di bruteforce.

cifratura

L'analisi dell'eseguibile del malware, mediante tecniche di disassemblaggio del codice, suggerisce l'utilizzo di comunicazioni criptate verso i server dei "sequestratori", utilizzando l'algoritmo RC4, per superare i tradizionali controlli dei sistemi di prevenzione e rilevazione delle intrusioni.
L'analisi dell'evoluzione dell'infezione rivela come il recupero dei file sia possibile agendo in maniera immediata durante le prime fasi dell'attacco. Come confermano alcune security firm, come McAfee, Dell Secure Network e alcuni ricercatori indipendenti, nella prima fase di attacco il ransomware crea una copia del file, la cifra e elimina l'indicizzazione dell'originale, senza però eliminare in maniera sicura il contenuto.
Oltre a ciò le shadow copy di windows, una sorta di sistema di backup nativo nel sistema Windows, vengono cancellate alla fine dell'esecuzione del processo.

Un'adeguata strategia per recuperare i file può essere dunque l'utilizzo di tecniche di recupero dati, ad esempio con prodotti per l'analisi forense, immediatemente dopo i primi sintomi dell'infezione, analizzando lo slack space e le shadow copy ancora presenti. I risultati dei primi ricercatori che hanno utilizzato questo approccio sono promettenti e parlano di percentuali di recupero di circa il 90% del contenuto nelle situazioni ottimali in cui lo spazio vuoto sul disco permette di non sovrascrivere i file originali e le analisi vengono svolte immediatamente dopo la rilevazione dell'attacco.

Analizzando le tecniche di prevenzione, si nota come i principali sistemi di antispam, quali ad esempio Google Postini e Proofpoint, siano in grado di rilevare le mail usate come vettore di infezione e bloccarle. Questo può essere il primo meccanismo di difesa, unitamente all'utilizzo di soluzioni antivirus aggiornate all'ultima versione.

Vedi anche: