Le novità sono due. E’ arrivata una nuova minaccia e le prime vittime non siamo noi occidentali ma – udite, udite! – i russi.
Non abbiamo fatto in tempo ad abituarci ai ransomware, quelle istruzioni malandrine che crittografavano archivi e documenti elettronici per poi chiedere un riscatto a chi voleva ritrovare i suoi dati in formato utilizzabile, che già appare un nuovo spettro a gettarci nel panico.
Non consola sapere che l’inaugurazione di questa feroce modalità di aggressione sia toccata in sorte ai tribunali e a qualche sindaco di cittadine russe. La devastazione di cui è capace questo strumento offensivo si prospetta apocalittica. Il “data wiper” agisce sugli hard disk– e lo dice il nome stesso – come un tergicristallo sul parabrezza di un’auto che si muove sotto la pioggia. Questo ritrovato infernale spazza via tutto quel che è stato memorizzato e mette letteralmente in ginocchio chi – come troppo spesso accade – non dispone di una copia di salvataggio scollegata dalla rete e fisicamente custodita in un armadio o in una cassaforte.
Per dare della perfidia di questa roba, basta pensare che si camuffa non da nonnina di Cappuccetto Rosso ma da “ransomware” (come se quella fosse una maschera da personaggio buono).
Il più famoso esempio di arma di quella natura è “CryWiper” ed è stato scoperto per la prima volta da Kaspersky questo autunno e l’analisi effettuata sarebbe stata innescata dopo che quel malware è stato utilizzato in un micidiale attacco contro un’organizzazione nella Federazione Russa.
La “radiografia” del codice maligno ha evidenziato che la funzione di cancellazione dei dati di CryWiper non è un errore, ma una tattica mirata per distruggere i dati di chi finisce nel mirino.
A cancellare i dati della vittima è un eseguibile Windows a 64 bit denominato “browserupdate.exe” scritto in C++, configurato per abusare di molte chiamate di funzione WinAPI.
Al momento dell’esecuzione, crea attività pianificate da eseguire ogni cinque minuti sulla macchina compromessa. Successivamente, contatta un server di comando e controllo (C2) con il nome della macchina della vittima. Il C2 risponde con un comando “esegui” o “non eseguire”, determinando se il “wiper” o “tergicristallo digitale” si attiverà o rimarrà inattivo.
I tecnici dei laboratori di Kaspersky riferiscono che il comportamento di CryWiper è bizzarro e in alcuni casi aspetta 345.600 secondi (quattro giorni per farla più facile) a scatenare la sua furia. In questo modo il bersaglio si ritroverà confuso e portato a ritenere di esser stato colpito da un ransomware.
CryWiper ferma i processi critici relativi a MySQL, al server di database MS SQL, al server di posta elettronica MS Exchange e ai servizi Web MS Active Directory per liberare i dati bloccati per la distruzione. In un momento immediatamente successivo il malware elimina le copie shadow sulla macchina compromessa in maniera tale da impedire il facile ripristino dei file cancellati.
Mica è finita. CryWiper modifica anche il registro di Windows per neutralizzare le connessioni RDP, probabilmente per ostacolare l’intervento e la risposta agli incidenti da parte di specialisti IT remoti.
Questo malware non si accontenta e mostra un sadismo senza precedenti. Utilizzando il generatore di numeri pseudocasuali “Mesenne Twister” CryWiper danneggia tutti i file ad eccezione di quelli “.exe”, “.dll”, “lnk”, “.sys”, “.msi” e il proprio “.CRY”, saltando anche System, Windows, e directory di avvio per evitare di rendere il computer completamente inutilizzabile e illudere chi viene attaccato che la situazione non è poi così drammatica…
In realtà il contenuto dei file colpiti viene soprascritto ripetutamente con caratteri alfanumerici randomici che rendono impossibile qualsivoglia tentativo di recupero.
Dopo questo passaggio degno di Attila del Terzo Millennio, CryWiper genera un file di testo (denominato “README.txt”) in cui viene chiesto un riscatto di mezo bitcoin (più o meno 8000 euro) in cambio di una procedura di decifrazione.
Peccato che la promessa di inviare il rimedio sia una bufala perché i dati danneggiati non possono più essere recuperati….
