È stato ribattezzato KeRnSoMwArE il nuovo ransomware sviluppato in Italia che, sebbene ancora in fase di test, ha tutte le carte in regola per arrecare notevoli danni ad aziende e privati nel nostro Paese (e non solo) con la solita tecnica del limitare l’accesso al dispositivo infetto mediante la cifratura dei file e delle cartelle archiviate nell’hard disk, richiedendo poi il pagamento di un riscatto (ransom in inglese) per fornire alla vittima la chiave di decodifica necessaria a rimuovere la limitazione. Il codice malevolo è stato individuato dal ricercatore JamesWT_MHT del Malware Hunter Team che ha condiviso le sue analisi con il CERT-AgID. KeRnSoMwArE è dunque il terzo ransomware sviluppato in Italia dopo FuckUnicorn (che si è diffuso nel mese di giugno 2020 camuffato da app Immuni) e Ransomware2.0, il malware razzista contro i napoletani isolato lo scorso mese di febbraio: ciò a conferma del fatto che anche in Italia i malware writer sono particolarmente attivi in questo periodo.
Indice degli argomenti
Tutti i dettagli del ransomware KeRnSoMwArE
Dall’analisi del sample di KeRnSoMwArE isolato dai ricercatori risulta evidente che il ransomware si trova ancora in una fase di sviluppo, anche se tutte le sue funzioni malevoli sono pronte per essere attivate in qualsiasi momento. È sufficiente, infatti, che i malware writer rivedano il codice sorgente generalizzando i path assoluti delle singole variabili utilizzate per testare, in particolare, proprio il processo di cifratura di KeRnSoMwArE. La prima azione che la versione beta del ransomware KeRnSoMwArE esegue appena attivo sulla macchina target è quella di cercare e poi terminare i processi taskmgr e cmd. Subito dopo, fa partire un conto alla rovescia di due ore e avvia contestualmente la cifratura di un file di esempio c:UserszannrDesktopcriptami.txt.
L’algoritmo crittografico è robusto, ma la chiave è in chiaro
Analizzando il codice malevolo, i ricercatori hanno scoperto che il ransomware KeRnSoMwArE utilizza una crittografia AES256 con un vettore di inizializzazione (IV) e chiavi casuali per cifrare i file della vittima designata, mentre per la chiave di decodifica viene utilizzato un algoritmo RSA. In questa versione di test del ransomware, la chiave (un semplice “ciao”) viene memorizzata all’interno del file c:UserszannrDocumentskey.txt. Un’altra caratteristica che conferma l’ipotesi che il ransomware KeRnSoMwArE sia ancora in fase di sviluppo è che i file originali dell’ipotetica vittima non vengono sovrascritti ma cancellati, mentre i dati cifrati vengono archiviati in un omonimo file con estensione .Kern (da cui il nome del malware). Questo consente di utilizzare la chiave precedentemente salvata per recuperare facilmente i file senza neanche doverli decifrare. È importante notare, però, che la procedura di decifratura dei file può essere completata con successo solo se il processo di esecuzione del ransomware non viene nel frattempo terminato: come hanno scoperto gli analisti del Malware Hunter Team e del CERT-AgID, infatti, il provider RSA viene inizializzato nella procedura di cifratura dei file e riutilizzato in quella di decifratura. Questo stesso schema di funzionamento dovrebbe essere confermato nel momento in cui la versione definitiva del ransomware KeRnSoMwArE entrerà in azione.
Due ore di tempo per pagare il riscatto o perdere tutti i file
In quel caso, la vittima avrà due ore di tempo per pagare il riscatto di 300 dollari in Bitcoin prima che i suoi file vengano rimossi dal sistema. Nel sample isolato dai ricercatori non è però indicato alcun indirizzo BTC al quale versare la somma. Nella nota di riscatto che viene visualizzata sul desktop della vittima nel momento in cui il ransomware KeRnSoMwArE si attiva, gli attori criminali hanno inserito un link alla voce “Need Help?”: cliccandoci sopra, viene aperta una finestra per comporre un nuovo messaggio Gmail senza, però, specificare al momento l’account e-mail di destinazione. Infine, è curioso notare che, come tutti gli altri ransomware, anche KeRnSoMwArE è stato progettato per colpire il maggior numero di vittime possibile in tutto il mondo: a seconda della versione di Windows installata sul sistema target, infatti, le istruzioni per il pagamento del riscatto vengono automaticamente tradotte anche in inglese, tedesco, francese e cinese.
Come difendersi dal ransomware KeRnSoMwArE
Il fatto che il ransomware KeRnSoMwArE sia al momento ancora in fase di test non consente, ovviamente, di adottare le necessarie misure di mitigazione per scongiurare un possibile attacco. Per fortuna, come confermato dagli analisti del CERT-AgID, “al momento non si hanno evidenze di campagne mirate o di compromissioni da una versione già attiva di KeRnSoMwArE, ma è un dato di fatto l’interesse dei malware writer italiani verso i ransomware per monetizzare rapidamente”. È importante, dunque, seguire alcune semplici regole per proteggersi da questa nuova minaccia:
- aggiornare periodicamente sistemi e applicazioni per correggere eventuali vulnerabilità che potrebbero essere sfruttate dal ransomware per infettare il sistema target e diffondersi nella rete;
- effettuare periodicamente un backup dei dati e custodire adeguatamente le copie di sicurezza in posizione sicura, adottando eventualmente soluzioni offline o cloud based;
- prestare sempre la massima cautela quando si ricevono e-mail di provenienza sospetta o da mittenti sconosciuti;
- evitare di aprire gli allegati di posta elettronica, soprattutto se sono in formato eseguibile. Se si tratta, invece, di documenti Office all’apparenza legittimi, evitare di abilitare l’esecuzione delle macro.
Ricordiamo, infine, che il fattore umano rappresenta indubbiamente l’anello debole nella catena difensiva di un’organizzazione e questa affermazione è ancora più vera quando ci si trova di fronte ad attacchi ransomware. Occorre dunque infondere nella cultura aziendale la consapevolezza della sicurezza e delle buone regole di condotta, verificandone l’attuazione con audit periodici.
