Un’analisi completa del ransomware Spora

Una nuova minaccia sta seminando il panico in tutto il mondo creando non pochi problemi. Si tratta del nuovo ransomware Spora che a quanto pare riesce a criptare i file offline senza modificare il loro nome.

Fortunatamente ora disponiamo di più informazioni al riguardo in quanto l’esperta in sicurezza informatica Hasherazade ha pubblicato sul blog di Malwarebytes un’analisi completa del malware.

Ho cercato di farne un sunto evidenziando di seguito i punti principali, con tanto di immagini riprese dall’articolo originale a cui si rimanda per tutti i dettagli.

Come si diffonde

Spora si diffonde tramite i classici allegati di posta oppure visitando siti infetti che consentono di scaricare il suo codice.

Come agisce

Una volta installato comincia a criptare tutti i file con determinate estensioni, di fatto le più comuni, senza manifestare segni evidenti della sua presenza. Allo stesso tempo cerca di accedere ai privilegi di amministratore ma senza eludere il meccanismo UAC. Infatti compare una finestra che richiede all’utente di eseguire un file .exe (nell’esempio riportato 1.exe).

L’unico modo per eliminare il popup è di confermare l’operazione. E già questo la dice lunga sui comportamenti che gli utenti dovrebbero tenere. Per quale ragione dovrei consentire ad un file sconosciuto, che si chiama 1.exe e sul quale non ho mai fatto click consapevolmente, di modificare il mio computer?

Quindi si passa alla cancellazione delle shadow copies agendo su vssadmin.exe ma anche in questo caso l’operazione è palese con tanto di finestra di prompt.

In seguito il ransomware si duplica all’interno del volume C:, modifica le impostazioni delle cartelle rendendole “nascoste” e creando dei collegamenti che a loro volta si portano dietro il codice malevolo. Ad esempio

C:\Windows\C:\Windows\system32\cmd.exe /c 
start explorer.exe "Program Files" 
& type "81d59edde88fc4969d.exe" > "%temp%\81d59edde88fc4969d.exe" 
&& "%temp%\81d59edde88fc4969d.exe"

I file cifrati mantengono il loro nome originale e nessuna estensione viene aggiunta, il che rende il ransomware ancora più pericoloso.

L’analisi non ha permesso di capire esattamente di quale cifratura si serva. Forse si tratta di AES con CBC (modalità di cifratura a blocchi).

Dove si trova

Sono diverse le locazioni in cui Spora si insinua a partire dalla cartella %APPDATA%

Sul Desktop trovano posto il file .KEY che occorre caricare sul sito dei criminali per le procedure di pagamento del riscatto

e il file .HTML con la descrizione della procedura da seguire.

Analizzando il file .KEY si osserva la presenza di un campo “hidden” contenente le informazioni codificate in Base64.

Addirittura nell’ultima versione il file è scomparso e il suo contenuto integrato appunto in un campo nascosto del form.

Come pagare il riscatto (DA NON FARE ASSOLUTAMENTE)

Le procedure di pagamento prevedono l’accesso al sito di Spora come se fosse una comune piattaforma di e-commerce.

Per inciso non è richiesto un Tor Browser come accade per altri ransomware. L’accesso avviene tramite un gateway.

In precedenza bisognava caricare il file .KEY contenente tutte le informazioni sull’utente e l’infezione, ora il tutto è trasferito in automatico, tramite il campo nascosto e codficato, dopo aver fatto click sul link presente nelle note.

Se non fosse per la tragicità della situazione (abbiamo perso tutti i nostri preziosissimi dati e magari rischiamo anche di chiudere l’azienda) e per il fatto che comunque stiamo parlando di attività illecite ci sarebbe da ridere.

Come possiamo vedere dalla precedente immagine il “cliente” ha un codice identificativo, sono presenti vari “servizi” con tanto di costi. Addirittura una prova “free” per essere sicuri che non si tratti di una truffa. Ma il massimo è la chat sulla destra: un servizio customer care professionale a tutti gli effetti!

Come sempre, a costo di essere ripetitivi fino alla nausea, l’unica difesa è la prevenzione: prestare la massima attenzione a quello che facciamo e attuare una seria politica di backup.

Ritieni che il post sia interessante? Se ti va puoi confermare le mie competenze o aggiungere una segnalazione sul mio profilo LinkedIn.

Lascia una risposta

L'indirizzo email non verrà pubblicato. I campi obbligatori sono contrassegnati *

Utilizzando il sito, accetti l'invio dei cookies da parte nostra. Maggiori informazioni

Questo sito utilizza i cookies per fornire la migliore esperienza di navigazione possibile. Continuando ad utilizzarlo senza modificare le impostazioni o cliccando su "Accetta" acconsenti al loro utilizzo.

Chiudi