I nostri esperti hanno scoperto un attacco da parte di un nuovo Trojan, ribattezzato CryWiper. A prima vista il malware sembra un ransomware: modifica i file, aggiunge loro un’estensione e salva un file README.txt con una richiesta di riscatto, che contiene l’indirizzo del portafogli Bitcoin, l’indirizzo e-mail di contatto degli sviluppatori del malware e l’ID dell’infezione. In realtà il malware è, a tutti gli effetti, un wiper. Un file modificato da CryWiper non potrà essere ripristinato al suo stato originale. Mai. Pertanto, se trovate una richiesta di riscatto e i vostri file presentano una nuova estensione .CRY non affrettatevi a pagare: è inutile.
In passato, avevamo già incontrato alcuni tipi di malware che diventavano wiper per sbaglio, a causa di errori degli sviluppatori che implementavano in modo alquanto maldestro algoritmi di crittografia. Tuttavia, questo non è il nostro caso: i nostri esperti sono certi che lo scopo principale dei malviventi non sia il guadagno economico, bensì la distruzione dei dati. I file non vengono realmente crittografati in quanto il Trojan li sovrascrive con dati generati in modo pseudo-casuale.
Cosa sta cercando CryWiper?
Il Trojan danneggia dati non essenziali per il funzionamento del sistema operativo. Non coinvolge file con estensione .exe, .dll. .lnk, .sys oppure .msi, ignorando molte cartelle di sistema nella directory C:\Windows. Il malware si focalizza su database, archivi e documenti degli utenti.
Fino ad ora i nostri esperti hanno rilevato unicamente attacchi localizzati verso obiettivi nella Federazione Russa. In ogni caso, di solito, nessuno può garantire che lo stesso codice non venga utilizzato nuovamente verso target diversi.
Come funziona il Trojan CryWiper
Oltre a sovrascrivere direttamente il contenuto dei file con immondizia varia, CryWiper funziona così:
- crea un task che riavvia il wiper ogni cinque minuti utilizzando Task Scheduler;
- invia il nome del computer infetto al server C&C e attende un comando per iniziare l’attacco;
- sospende i processi legati ai server di database MySQL e MS SQL, i server di posta MS Exchange e i servizi web di MS Active Directory (se così non fosse, l’accesso ad alcuni file verrebbe bloccato e sarebbe impossibile danneggiarli);
- cancella le copie shadow dei file in modo che non possano essere riparati (tuttavia, per qualche strana ragione, solo nell’unità C:);
- disabilita la connessione al sistema infetto tramite un protocollo di accesso remoto RDP.
Lo scopo di quest’ultima azione non è completamente chiaro. Probabilmente, con questo tipo di disattivazione gli sviluppatori del malware hanno cercato di complicare il lavoro dell’Incident Response Team, che avrebbe chiaramente preferito avere l’accesso remoto al computer infetto. Nel post su Securelist (disponibile solo in russo) potete trovare i dettagli tecnici dell’attacco, insieme agli indicatori di compromissione.
Come proteggersi
I nostri esperti raccomandano i seguenti accorgimenti per proteggere i computer aziendali sia da ransomware che wiper:
- controllate attentamente le connessioni di accesso remoto alla vostra infrastruttura; vietate le connessioni da network pubblici, permettete l’accesso RDP solo attraverso un tunnel VPN e utilizzate delle password uniche molto forti, oltre all’autenticazione a due fattori;
- aggiornate il software critico regolarmente, prestando particolare attenzione al sistema operativo, alle soluzioni di sicurezza, ai client VPN e gli strumenti di accesso remoto;
- sensibilizzate i vostri dipendenti utilizzando, per esempio, degli strumenti specifici online;
- utilizzate soluzioni avanzate di sicurezza per proteggere sia i dispositivi di lavoro che il perimetro della rete aziendale.