Close

20 Gennaio 2020

Il ransomware 5ss5c sarebbe la nuova versione di Satan

Il ricercatore e analista di malware Bart Blaze, ha scoperto una nuova variante del ransomware Satan, il 5ss5c che, come il suo predecessore, si avvia tramite un downloader e sfrutta EternalBlue per la sua diffusione.

Nuovo, invece, è l’utilizzo di Enigma VirtualBox per compattare i file in un ulteriore modulo aggiuntivo denominato “poc.exe”. Il file rilasciato in C:\ProgramData\poc.exe esegue una riga di comando molto simile a quella di Satan:

« cd/DC:\ProgramData&star.exe –OutConfig a –TargetPort 445 –Protocol SMB –Architecture x64 –Function RunDLL –DllPayload C:\ProgramData\down64.dll –TargetIp »

Entrambi i codici malevoli condividono lo sfruttamento di credenziali hardcoded usate per connettersi a un database SQL ed entrambi hanno un elenco di file esclusi, che non vengono crittografati. Ma mentre Satan e DBGer hanno entrambi escluso alcuni file relativi a Qih00 360, l’elenco della nuova versione 5ss5c comprende l’aggiunta di file 360download e 360safe.
L’elenco delle estensioni crittografate è comunque diverso rispetto a quello dei ransomware precedenti: 7z, bak, cer, csv, db, dbf, dmp, docx, eps, ldf, mdb, mdf, myd, myi, ora, pdf, pem, pfx, ppt, pptx, psd, rar, rtf, sql, tar, txt, vdi, vmdk, vmx, xls, xlsx, zip.

Secondo gli esperti di cyber security, il gruppo di criminali informatici che si cela dietro la diffusione di 5ss5c sarebbe lo stesso che ha diffuso i ransomware Satan, DBGer e Lucky (forse anche Iron).

Il ransomware genera una nota di riscatto in cinese, richiedendo 1 bitcoin per la decrittazione e minacciando il raddoppio della richiesta dopo 48 ore, anche se non vi è alcuna indicazione di dove debba essere inviato il pagamento.

Poiché Satan era disponibile come ransomware-as-a-service, è ipotizzabile che il nuovo 5ss5c stia seguendo lo stesso percorso. È dunque possibile che la mancanza di specificità nelle istruzioni di pagamento sia una caratteristica di progettazione (almeno in questa fase di sviluppo).

Anche per questo motivo, gli esperti sono portati a credere che il ransomware nonostante abbia già colpito diverse vittime in vari Paesi, sia ancora in fase di sviluppo.

Per saperne di più https://www.cybertrends.it/il-ransomware-5ss5c-sarebbe-la-nuova-versione-di-satan/

Il ransomware 5ss5c sarebbe la nuova versione di Satan ultima modifica: 2020-01-20T10:00:52+01:00 da Alessandra Rose

20 Gennaio 2020