CryptoLocker

Sorebrect, il ransomware “fileless” che lavora nella memoria di Windows

21 Giugno 2017

I primi attacchi si sono verificati un mesetto fa in Canada, Cina, Croazia, Giappone, Italia, Messico, Russia, Stati Uniti e Taiwan e ora è stato "identificato" ufficialmente come ransomware.
Si tratta di Sorebrect, che per certi versi rappresenta un'evoluzione tecnica nel panorama dei ransomware.
Infatti questo è un virus di tipo "fileless" ossia è senza file e quindi diventa difficilmente identificabile per un antivirus.
Come è possibile che un virus di tipo ransomware, che quindi cifra i dati, non abbia un file, un eseguibile?
Come fa un programma ad andare in memoria se non esiste un file "avviabile"?
 

Come funziona?
E’ presto detto.
Questo virus si "inietta" utilizzando la celeberrima utility PsExec del mitico Russinovich.
No, Russinovich non c’entra nulla con il virus, ma grazie alla capacità di eseguire comandi su computer remoti, l'utility PsExec permette di installare ed eseguire software e codice su macchine remote, a condizione di avere le credenziali opportune.
Una volta iniettato il virus sulla macchina target, questo va in esecuzione in memoria e "sporca" la memoria di svchost.exe (processo fondamentale per ogni sistema operativo Windows), cancella i log degli eventi e le copie shadow (che Windows esegue per sicurezza).
In memoria quindi resta il "contenitore" di svchost.exe che contiene il codice maligno.
A questo punto inizia il processo di cifratura dei dati, e terminato il processo ci si ritrova sul computer file con estensione ".pr0tect", lasciando poi sul desktop un file di testo con le istruzioni per procedere al pagamento del riscatto per poter poi riottenere dei file.
Naturalmente Sorebrect non cifra solo i file localmente, ma accede anche alle share di rete.
 

Come ci si difende?

Essendo un virus "senza file" già di per sè è molto difficile da individuare da parte di un antivirus, e se a questo si aggiunge il fatto che si inocula all'interno di un processo di sistema, possiamo dire che questo ransomware potrebbe farla franca spesso e volentieri.

La bacchetta magica naturalmente non esiste, ma ci sono azioni che si possono intraprendere per limitare i rischi:

  • restringere i diritti di scrittura degli utenti solo laddove necessario: spesso all’interno delle rete ci sono permessi di scrittura assegnati indistintamente a tutti. Aiuta quindi un giro di vite assegnando i diritti di scrittura solo laddove è necessario;
  • limitare i privilegi per l’utility PsExec: con un’opportuna policy si può fare in modo che PsExec sia utilizzabile solo dagli amministratori di sistema;
  • mantenere aggiornati sistemi e apparati di rete: software e sistemi aggiornati sono più difficilmente attaccabili da hacker e virus, sempre alla ricerca di vulnerabilità non patchate;
  • attivare un approccio multi-strato alla sicurezza.

 
Giova infine ricordare che un buon piano di backup e disaster recovery permette di salvarti quando tutti i metodi di prevenzione falliscono.
Perché un attacco ransomware può arrivare in qualsiasi momento, anche mentre peli le patate per la cena…
 

Autore
Claudio Panerai
Gli ultimi prodotti che vi ho portato, nel 2020: Vade Secure Il primo sistema antispam/antihishing/antimalware basato sull'intelligenza artificiale e appositamente progettato per Office 365. Naturalmente a misura di MSP. ID Agent Piaffaforma che consente agli MSP di monitorare le credenziali (proprie e dei clienti) che sono in vendita nel dark web.
Nato a Ivrea nel 1969, è sposato e padre di due figlie. Laureato in Scienze dell’Informazione nel 1993, ha dapprima svolto numerose consulenze e corsi di formazione per varie società per poi diventare responsabile IT per la filiale italiana del più grande editore mondiale di informatica, IDG Communications. Dal 2004 lavora in Achab dapprima come Responsabile del Supporto Tecnico per poi assumere dal 2008 la carica di Direttore Tecnico. Giornalista iscritto all’albo dei pubblicisti, dal 1992 pubblica regolarmente articoli su riviste di informatica e siti web di primo piano. E' stimato da colleghi e clienti per la schiettezza e onestà intellettuale. Passioni: viaggi, lettura, cinema, Formula 1, sviluppo personale, investimenti immobiliari, forex trading. Claudio è anche su LinkedIn e Facebook.
Commenti (0)

Lascia un commento

Il tuo indirizzo e-mail non verrà pubblicato, lo utilizzeremo solamente per inviarti la notifica della pubblicazione del tuo commento. Ti informiamo che tutti i commenti sono soggetti a moderazione da parte del nostro staff.