Il nuovo ransomware Buran
La varietà di malware VegaLocker ha fornito la base per il nuovo ransomware-as-a-service (RaaS) Buran che affronta i concorrenti a tariffe scontate.
Secondo i ricercatori di McAfee Alexandre Mundo e Marc Rivero Lopez, Buran è stato rilevato per la prima volta a maggio 2019 e ora si è unito ai ranghi di altre offerte RaaS tra cui REVil e Phobos.
Annunciati per la prima volta su un forum russo, gli operatori di Buran sembrano concentrarsi sulla creazione di relazioni personali con clienti criminali.
In totale, gli autori percepiscono il 25 percento dei guadagni illeciti ottenuti attraverso infezioni di successo, uno sconto sostanziale sul 30-40 percento normalmente richiesto dagli operatori RaaS.
Anche il tasso può essere negoziato “con chiunque sia in grado di garantire un livello impressionante di infezione da Buran”, affermano i ricercatori.
Buran è descritto nella pubblicità come un ceppo stabile di malware che utilizza un cryptoclocker offline, supporto 24/7, chiavi globali e di sessione e nessuna dipendenza di terze parti come le librerie.
Il malware è anche in grado di scansionare unità locali e percorsi di rete e contiene funzionalità opzionali tra cui la crittografia dei file senza modificare le estensioni; rimozione dei punti di ripristino e cancellazione dei registri; eliminazione del catalogo di backup e mezzi per l’eliminazione automatica.
Gli operatori Buran affermano che il ransomware è compatibile con tutte le versioni del sistema operativo Microsoft Windows, ma McAfee ha scoperto durante le sue indagini che alcune versioni precedenti, incluso Windows XP, sono immuni.
Il kit exploit Rig è il metodo di consegna preferito per la nuova famiglia di ransomware e una vulnerabilità RCE di Microsoft Internet Explorer VBScript Engine CVE-2018-8174 viene utilizzata per sfruttare le macchine per la distribuzione.
Finora sono state trovate due versioni di Buran, scritte in Delphi, la seconda delle quali contiene miglioramenti all’originale. Il malware controllerà se la macchina vittima è registrata in Russia, Bielorussia o Ucraina e se questi controlli tornano positivi, Buran uscirà.
Dopo essersi accertato che il malware sia in grado di creare file e archiviarli in cartelle temporanee, Buran creerà le chiavi di registro per mantenere la persistenza, assegnare alla vittima un ID, crittografare i file e pubblicare una richiesta di riscatto.
Buran proviene da VegaLocker e Jumper e si ritiene che sia il prossimo stadio dell’evoluzione a causa di comportamenti, artefatti e tattiche simili, tecniche e procedure (TTP) trovati nel suo codice. Questi includono le modifiche al registro, i tipi di file archiviati in cartelle temporanee, la sovrapposizione delle estensioni e la creazione di copie shadow.
“Gli autori di malware sviluppano il loro codice malware per migliorarlo e renderlo più professionale”, afferma McAfee. “Cercare di essere furtivi per confondere i ricercatori della sicurezza e le aziende AV potrebbe essere uno dei motivi per cambiare il suo nome tra le revisioni”.
La scorsa settimana, il provider di hosting ASP.NET SmarterASP.NET è stato colpito da un’infezione da ransomware. I server dei clienti sono stati crittografati e resi inaccessibili e anche il sito Web dell’host è stato influenzato.
Forrester Research stima che gli attacchi ransomware contro l’impresa siano aumentati del 500 percento anno su anno.
