Utenti Home       Utenti Aziendali       Chi Siamo       Contratto EULA.

Dettaglio news

Ransomware: Maze continua ad rappresentare una seria minaccia
- VENERDÌ 19 GIUGNO 2020


Maze è un ransomware che, ormai da tempo, è tenuto sempre più in considerazione dai ricercatori di sicurezza, tra le varie e numerose famiglie di ransomware. E' attivo dallo scorso anno, ma è divenuto uno dei ransomware più conosciuti perchè ha apportato una vera e propria rivoluzione nelle tecniche di attacco:  prima di criptare i dati sui sistemi che riesce a infettare, Maze li ruba e ne minaccia la pubblicazione per aumentare le pressioni sulle vittime e ottenere il pagamento del riscatto. I suoi sviluppatori hanno aperto un sito web apposito per i leak, dove rendere pubblica parte dei dati di quelle vittime che si rifiutano di pagare il riscatto. 

Maze usa varie tecniche per ottenere l'accesso ai sistemi: dall'uso di exploit kit per sfruttare vulnerabilità dei software alle email compromesse che impersonificano mittenti che la vittima può ritenere affidabili. Queste email hanno sempre un allegato Word compromesso che contiene una macro: una volta abilitata al macro il malware si esegue sul sistema. 

L'algortimo di criptazione usato da Maze si chiama CHA-CHA, mentre le sue chiavi sono criptate con l'algoritmo RSA. Usa alcuni IP russi per i webserver ai quali inviare le informazioni relative ai sistemi infettati. Utilizza la criptazione RSA anche per le richieste e le comunicazioni al server di comando e controllo. Non cripta tutti i sistemi: appena avuto accesso ad un sistema verifica le impostazioni della tastiera per escludere utenti di specifiche zone. 

La macro VBS
Il documento allegato ha un form contenente una input box nella quale sono presenti l'URL criptato e il percorso. Il documento contiene un oggetto ActiveX. Quando viene eseguito, l'URL e il percorso sono decriptati quindi, tramite la funzione URLDownloadToFileA(), viene eseguito il download dell'eseguibile dannoso in una destinazione specificata. 


Fase 2: la criptazione
Maze presenta un cryptor personalizzato dotato di una serie di misure anti-debugging per rendere più complesso l'uso del codice. In dettaglio porta con sé alcune stringhe inutili (junk strings). Prima di avviare la criptazione, Maze esegue alcune verifiche in cerca di specifici file o command-line: se presenti, modifica il proprio flusso di esecuzione.

Superato il check, il malware scarica le risorse nella location dove è presente la sua DLL: le risorse caricate criptate, ma vengono decriptate rivelando dati in base64. Scaricati tutti i dati, il malware procede alla loro completa decriptazione: ecco che si ottiene il payload "pulito" del ransomware

Come detto, il payload esegue alcune verifiche, comprese le impostazioni della tastiera, usando la funzione GetUserDefaultUILanguage():

Russo : 0x419 // NOT Encrypt For this value
Ucraino : 0x422 // NOT Encrypt For this value
Serbo : 0x7C1A // NOT Encrypt For this value
en_US : 0x409 // Encrypt For this value

Gli IP usati per le comunicazioni col server di comando e controllo sono:
  • 91.218.114.4
  • 91.218.114.11
  • 91.218.114.25
  • 91.218.114.26
  • 91.218.114.32
  • 91.218.114.3791.218.114.38
e sembrano tutti appartenere alla Russia. 

Stabilita la connessione col server, il malware invia le prime informazioni sul computer dell'utente: Username, nome del computer, versione del sistema operativo. Ora si avvia la criptazione vera e propria. 

Sono esclusi dalla criptazione i seguenti formati file:
Exe; Dll; Sys; lnk.

I seguenti file:
Decrypt-Files.txt; Autorun.inf; Boot.ini; Desktop.ini; Temp/000.bmp

Le seguenti cartelle:
%windows%, @gaming%, %programdata%, %tor Brower%, %local Settings%, %appdata%

Tutto il resto verrà criptato. 


Misure preventive:
non esiste ad oggi una soluzione per riportare in chiaro i file criptati da Maze, a meno che non si ceda al ricatto e si finisca per pagare il riscatto. Le uniche misure preventive sono l'inserimento nelle soluzioni di sicurezza degli indicatori di compromissione sotto indicati, la presenza di una solida protezione antivirus e antiransomware, l'uso di software aggiornati alle ultime versioni disponibili (cosa da ridurre le vulnerabilità sfruttabili dagli attaccanti).

E' fondamentale anche che gli utenti prestino estrema attenzione ad ogni email contenente allegati evitando, se non in caso di estrema certezza, l'abilitazione di eventuali macro: anche evitare di cliccare su link sospetti è una forma di difesa necessaria che ogni persona dovrebbe tenere a mente. 

IoC:
49B28F16BA496B57518005C813640EEB
BD9838D84FD77205011E8B0C2BD711E0


Leggi tutte le news     |     Leggi tutti gli update
Ultime news

VENERDÌ 3 LUGLIO 2020
Il 70% delle app di uso comune ha falle di sicurezza. Sei protetto?
La maggior parte delle applicazioni che usiamo attualmente sono sviluppate usando librerie open-source: parliamo di repositories di codice gratuito e libero che aiuta gli...

leggi tutte le news

Premi e Certificazioni

La qualità dei prodotti Quick Heal vanta innumerevoli premi e certificazioni a testimonianza della sempre crescente importanza del marchi a livello mondiale nel settore Antivirus e sicurezza informatica

Continua a leggere »

Chi siamo
Panoramica
La nostra storia
Premi & Certificazioni
Scheda riepilogativa
Clienti
Dicono di noi
Trova un rivenditore
Manuali e schede tecniche
Chiedi aiuto
Contatti
Update
Rivenditori
Diventa rivenditore
Strumenti di supporto
Link rapidi
Rinnova ora
File di installazione
Supporto
Contratto EULA.
Download Upgrade

S-MART è un marchio di proprietà netWork Sas
P.IVA: 05345670482

© 2020 nwk - Privacy Policy - Cookie Policy - Login