Il ransomware Parisher contatta Interpol dai PC infettati

Continuano le infezioni di cui abbiamo parlato il mese scorso, causate dal ransomware “Parisher” che cripta i documenti senza cambiare l’estensione dei file, lascia sul sistema i file Lokmann.key993, HELLO.0MG e 633591.log e chiede un riscatto di 5 bitcoin per decifrare i file.

In particolare, sembra che i delinquenti che diffondono l’infezione stiano utilizzando il protocollo Windows RDP (Remote Desktop Protocol) attraverso il software Microsoft RDC (Remote Desktop Connection) ma arrivano casi anche di ransomware inviati e attivati tramite TeamViewer o altri sistemi di desktop remoto di cui sono state acquisite in qualche modo le credenziali o una sessione aperta.

Il cryptovirus Parisher sembra, tra l’altro, mandare un “segnale” al sito dell’Interpol connettendosi all’indirizzo “interpol.int” e inviando tramite comando GET la query HTTP “/js/dbin/data/stream/local/headers.js?a=633591:HOME:0:0:5.1:0 HTTP/1.1“.

Si noti che il parametro “633591” combacia con il nome del file “633591.log” che contiene l’elenco dei file criptati dal malware stesso. Teoricamente, quindi, l’interpol sarebbe in grado di monitorare le infezioni di questo tipo di ransomware semplicemente monitorando gli accessi a quella risorsa che, tra l’altro, è inesistente e contiene inoltre un certificato valido ma generato da Baltimore CyberTrust Root per un common name diverso (“a248.e.akamai.net”). La pagina inoltra poi al sito ufficiale Interpol all’indirizzo www.interpol.it.

Il trojan Parisher – variante variante del ransomware Mobef – lascia sul PC della vittima nel file chiamato “Lokmann.key993” una richiesta di contatto verso gli indirizzi [email protected], [email protected], [email protected] e [email protected], con questo messaggio:

ID:633591
PC:HOME
USER:Administrator

=======

Hello there. I can decrypt your files.
Email me: [email protected]
In case you don’t get a reply, please email me here*:
[email protected], [email protected], [email protected]

* check your junk/spam folder first though 🙂

These files have been encrypted (please, keep this .log): C:\Windows\633591.log

Lo stesso messaggio viene lasciato dal ransomwrae Parisher sul desktop del PC della vittima:

Siamo riusciti a identificare, in una infezione attivata tramite Connessione a Desktop Remoto RDP, alcuni indirizzi IP dai quali sono state tentate le connessioni RDP che hanno permesso ai delinquenti di accedere al sistema. I criminali hanno prima ricercato la password tramite un attacco di brute force direttamente sulla porta 3389 e, una volta trovata, alcuni giorni dopo, hanno caricato il file “15cr.exe” sul desktop del server lanciandolo. In altri casi, gli hacker hanno utilizzato la connessione RDP per eseguire portscan di altri target e cercare server RDP cui connettersi, a seguito di ulteriori attacchi di forza bruta sulle password più comuni. Questo insegna che è altamente sconsigliato lasciare la porta 3389 direttamente aperta dall’esterno con il server RDP listening e utenti della macchina con password semplici.

Osservando gli eventi di Windows, nella sezione “RemoteDesktopServices\Operational”, si possono osservare i singoli accessi abusivi al sistema che l’attaccante ha potuto eseguire dopo aver trovato la password corretta tramite bruteforce:

Il payload “15cd.exe” lasciato sul Desktop dal ransomware possiede i seguenti valori hash:

• MD5: 7d082fdf8f7a306c9a4fa65d73453f43
• SHA256: 77a7f1ecbd1e255ca90acc1b259482b3b9cbb1e9107f465b4fd296144d413911

Le analisi del malware in virtual machine sono visionabili ai seguenti link:

• https://www.virustotal.com/en/file/77a7f1ecbd1e255ca90acc1b259482b3b9cbb1e9107f465b4fd296144d413911/analysis/1476740417/
• https://www.hybrid-analysis.com/sample/77a7f1ecbd1e255ca90acc1b259482b3b9cbb1e9107f465b4fd296144d413911?environmentId=100
• https://malwr.com/analysis/YzY2ZGFmYTRhNWY2NDRkYmIwMmY1NTM0N2Y2YmUxMWQ