Un’altra infezione contro le imprese per rallentarne il business pretendendo anche il riscatto

I tecnici di Observere sono a lavoro per affrontare un nuovo ceppo di infezione a danni delle infrastrutture di rete di due importanti aziende nazionali che quotidianamente esportano milioni di euro di Made in Italy in tutto il mondo.

Si tratta di un nuovo ransomware chiamato Ako che si rivolge a tutta la rete piuttosto che a singole workstation.

Il malware ha cifrato in entrambi i casi sia una computer desktop con Windows 10, sia il Server Windows SBC 2011.

Si tratta di una infezione il cui genus risulta essere incredibilmente nuovo e questo è già palpabilmente percepibile dalla nuova modalità di pagamento del riscatto del sito Tor.

I primi IoC: come Ako pare cifrare i device

All’avvio, Ako esegue prima di tutto i seguenti comandi per eliminare le copie del volume shadow, cancellare i backup recenti e disabilitare l’ambiente di recupero di Windows.

vssadmin.exe Delete Shadows /All /Quiet

bcdedit.exe /set {default} recoveryenabled No

bcdedit.exe /set {default} bootstatuspolicy ignoreallfailures

wbadmin DELETE SYSTEMSTATEBACKUP

wbadmin DELETE SYSTEMSTATEBACKUP -deleteOldest

wmic.exe SHADOWCOPY /nointeractive

 

Continua creando il valore nel Registro EnableLinkedConnections sotto la chiave di registro HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System che la setta al valore 1.

Tale modifica per assicurarsi che le unità mappate siano accessibili anche in un processo avviato da Controllo dell’account utente.

Così il ransomware continua le sue operazioni avviando la cifratura vera e propria sui computer/apparati in rete.

Durante la crittografia dei file, Ako cifra tutti i file che non corrispondono alle estensioni “.exe ,. dll, .sys, .ini, .lnk, .key, .rdp” e i cui percorsi non contengono le seguenti stringhe:

$,AppData

Program Files

Program Files (x86)

AppData

boot

PerfLogs

ProgramData

Google

Intel

Microsoft

Application Data

Tor Browser

Windows

 

Quando un file viene crittografato, verrà rinominato e un’estensione generata casualmente verrà aggiunta al nome del file. Ad esempio, pippo.doc verrebbe crittografato e rinominato in pippo.doc.V5Cyi3

Al termine delle operazioni, la chiave di crittografia utilizzata per crittografare i file della vittima verrà crittografata e archiviata in un file denominato id.key sul desktop di Windows della vittima.

System restore e bonifica

È in corso l’attività di ripristino dei sistemi anche attraverso il supporto di Laboratori come SentinelLab’s.

 

Di Nicola Tigri

CategoryCyberSecurity

© 2018 Observere Srl P.Iva 10220640964

logo-footer