CryptoMix Clop, il ransomware che “sequestra” intere reti e non singoli PC: come difendersi

Gli analisti del MalwareHunterTeam hanno scoperto una nuova variante del ransomware CryptoMix che riesce a colpire intere reti di computer anziché le singole macchine degli utenti. Rispetto alle precedenti versioni, inoltre, il ransomware utilizza differenti estensioni per i file che cripta.

Nella loro analisi di questa nuova variante di CryptoMix, gli analisti hanno anche osservato che gli eseguibili del ransomware vengono firmati con un certificato digitale che garantisce al malware di essere identificato come un’applicazione legittima agli occhi di alcune soluzioni software di sicurezza.

CryptoMix Clop: analizziamo il ransomware

Una volta eseguita, la nuova variante del ransomware CryptoMix Clop inizia immediatamente a terminare alcuni servizi e processi di Windows, tra cui Microsoft Exchange, Microsoft SQL Server, MySQL e BackupExec. Un’operazione, questa, che tra le altre cose gli consente di disabilitare l’eventuale software antivirus in esecuzione sul computer.

Inoltre, così facendo, può chiudere tutti i file aperti per riuscire a cifrarli più facilmente.

A questo punto, il ransomware crea un file batch chiamato clearnetworkdns_11-22-33.bat che verrà eseguito subito dopo l’avvio del ransomware stesso. Le istruzioni contenute al suo interno consentono a CryptoMix Clop di disabilitare la funzione di riparazione automatica dei file di sistema all’avvio di Windows e di rimuovere le Shadow Copy che, per l’appunto, consentono la creazione manuale o automatica di copie di backup di un file, di una cartella o di uno specifico volume ad un dato momento di tempo.

Completate anche queste operazioni malevoli, il ransomware inizierà a crittografare i file delle vittime. Durante la crittografia dei file, aggiungerà l’estensione .Clop (con la “l” minuscola) o .CIop (con la “I” maiuscola) al nome del file crittografato. Ad esempio, un file di prova crittografato da questa variante avrà un nome tipo test.jpg.CIop.

Terminata la fase di cifratura dei file, CryptoMix Clop crea il file di testo CIopReadMe.txt per comunicare alle vittime che l’intera rete locale è stata compromessa e che tutti i file dei computer connessi sono stati crittografati.

Il ransomware, inoltre, “consiglia” alle sue vittime di non spegnere o riavviare il sistema in quanto i file criptati verrebbero irrimediabilmente danneggiati.

Secondo gli esperti del MalwareHunterTeam il ransomware non ha, al momento, la capacità di auto propagarsi, ma i criminal hacker che hanno sviluppato questa nuova variante potrebbero farlo manualmente sfruttando le funzionalità dei Remote Desktop Services usati per l’accesso remoto alle macchine Windows.

Nella stessa nota di riscatto vengono indicati anche gli indirizzi e-mail: unlock@eqaltech.su, unlock@royalmail.su, unlock@royalmail.su e kensgilbomet@protonmail.com, che servono per contattare i criminal hacker e ricevere le istruzioni di pagamento necessarie per decifrare i file bloccati.

Come proteggersi dal ransomware CryptoMix Clop

Secondo Federico Griscioli, Information & Cyber Security Advisor presso P4I – Partners4Innovation “risulta interessante come la variante Clop di CryptoMix firmi l’eseguibile malevole con un certificato digitale con il fine di aumentare la probabilità di eludere i sistemi di difesa della macchina vittima. I dati, inoltre, vengono cifrati attraverso un processo in background e l’utente viene avvisato dell’infezione solo a seguito del tentativo di impadronirsi delle credenziali di amministratore della macchina”.

“Riguardo alle difese, continuano ad essere valide quelle generalmente raccomandate per i ransomware, quali una procedura temporizzata di backup che non sia in locale e possibilmente automatizzata”, continua l’analista, secondo cui “nello specifico, è anche consigliabile: utilizzare una VPN (Virtual Private Network) per i servizi di accesso remoto, implementare delle politiche sulle password usate per accedere a servizi RDP (Remote Desktop Protocol), attivare meccanismi di account lockout, cambiare la porta di default utilizzata dal RDP e utilizzare soluzioni che implementano il two-factor authentication per connessione RDP. Continuano poi ad essere sempre valide le solite difese quali installare gli aggiornamenti di sicurezza e porre particolare attenzione agli allegati soprattutto, nel caso di file di Windows office, quando contengono macro”.

Massimo Carlotti, Sales Engineer di CyberArk, aggiunge: “Purtroppo, siamo ormai abituati alla comparsa di nuovi oggetti del genere che riescono ad essere molto dannosi in virtù dell’azione con cui compromettono i dati degli utenti (e quindi delle aziende). Nonostante ciò, questi attacchi sono tuttora efficaci per diverse ragioni, non ultimo il fatto che i consueti suggerimenti rimangono purtroppo spesso inascoltati (backup affidabili, antivirus/antimalware efficaci…).

“A queste buone prassi”, continua Carlotti, “aggiungerei il consiglio di indirizzare il problema in modo più ampio mediante un approccio che preveda “Least Privileges” ed “Application Control”. Le due azioni combinate permettono di:

• ridurre al minimo i privilegi degli utenti (per impedire azioni involontarie/malevole sul sistema, quando richiedono privilegi – ad esempio per l’arresto di un servizio);
• impedire l’esecuzione di processi non esplicitamente autorizzati (quali l’avvio di batch sconosciuti, firmati o meno);
• consentire agli utenti di svolgere comunque le funzioni necessarie (ma non di più) anche quando richiedono privilegi su sistema (ad esempio, riconfigurare la rete) e prevedono l’uso e l’esecuzione di applicativi vari (ad esempio, aggiornamenti e patch, applicativi che richiedono che l’utente sia amministratore della macchina…).

Una buona implementazione, quindi, permetterebbe di mantenere l’operatività degli utenti aumentando fortemente il livello di protezione dell’azienda, per la tranquillità dei team di Security ed Operation, senza contare le funzioni di Audit e Compliance”.

Per proteggersi da questa nuova variante di CryptoMix Clop, e in generale da tutti i ransomware, occorre quindi seguire alcune buone regole di sicurezza informatica, oltre ai consigli già suggeriti da Griscioli e Carlotti al nostro sito.

È importante, ad esempio, installare un efficiente antivirus che, oltre al rilevamento basato su firma o di tipo euristico, integri anche funzioni di analisi comportamentali in grado di identificare e bloccare per tempo le azioni malevoli del ransomware.

Infine, è utile fare adottare a tutti gli utenti della LAN alcune semplici regole comportamentali:

• non aprire gli allegati di posta elettronica se non si conosce chi li ha inviati;
• non aprire gli allegati finché non si conferma l’identità della persona che li ha effettivamente inviati;
• effettuare una scansione degli allegati con l’antivirus o con strumenti on-line tipo VirusTotal;
• assicurarsi che tutti gli aggiornamenti di Windows vengano installati non appena escono. Così come è importante aggiornare tutti i software utilizzati quotidianamente, in particolare Java, Flash e Adobe Reader. I programmi più vecchi contengono vulnerabilità di sicurezza che sono comunemente sfruttate dai distributori di malware. Pertanto, è importante mantenerli aggiornati;
• utilizzare sempre password robuste (quindi composte da almeno 16 caratteri alfanumerici e contenenti anche punteggiatura e caratteri speciali) e mai la stessa per accedere alla propria macchina, alla rete locale o ai vari servizi on-line.