Attacchi con Ransomware GandCrab

 

Proto: N010818.

 

Con la presente Yoroi desidera informarLa relativamente al rilevo di una pericolosa ondata di attacchi diretta a varie organizzazioni all’interno del panorama cyber italiano: sono state intercettate email fraudolente estremamente pericolose che tentano di simulare comunicazioni provenienti dal corriere espresso DHL. Gli archivi compressi allegati nei messaggi di posta contengono script “.jse” offuscati appositamente disegnati per scaricare e lanciare ulteriori famiglie malware. 

La campagna di attacco in oggetto risulta molto pericolosa in quanto gli allegati malevoli intercettati stanno al momento servendo malware di tipologia InfoStealer/AzoRult e varianti Ransomware/GandCrab. Queste tipologie di minaccia pongono rischi di sicurezza rilevanti sia nell’immediato, a causa delle capacità di cifratura di file locali e condivisioni di rete, che nel medio/lungo periodo per via delle credenziali e delle informazioni esfiltrate dalla minaccia AzoRult.


Figura 1. Schermata di riscatto del ransomware GandCrab v4


Di seguito si riportano gli indicatori di compromissione individuati a seguito delle analisi condotte:

  • Malspam:
    • Allegato: DHI859049485.zip
    • Oggetto: Copy of: VS SPEDIZIONE DHL AWB 579938727 proveniente dalla GRAN BRETAGNA **AVVISO DI GIACENZA **
    • Mittente (Alias): “Dhl track”
  • Dropurl:
    • hxxp://www.maryhill[.de/index.zip
    • hxxp://www.kvolle[.com/uploads/calc.exe
    • hxxp://katymcdonald[.com/test/test1.exe
  • C2 (Azorult):
    • hxxp://info.biofarmasrl[.it/azs/index.php
  • C2 (GandCrab)
    • hxxp://www.macartegrise[.eu/
    • hxxp://www.billerimpex[.com/
  • Payment (GandCrab)
    • hxxp://gandcrabmfe6mnef[.onion/42e0c2b65ccf0889
  • Hash:
    • 54c46ec89d9e878dc9cf770db77d479c341ad5ee775e84768830b023aa8e28ca zip
    • 2d7dc7498a3717e24678878dd751580dde82bb5287629eb0a218cda760016ccc jse
    • a9c2dc7b854b7de36380168ddee046c1433b9276c5e9fd1977773d2b0fe16935  exe
    • f36f9d655efb7eca37a8b4e0182a90fb2b6bafe6b9f9fa3fdc104405ad6f0d9e  exe

Yoroi consiglia infine di mantenere alto il livello di consapevolezza degli utenti, avvisandoli periodicamente delle minacce in corso e di utilizzare un team di esperti per salvaguardare la sicurezza del perimetro “cyber”. Per avere un indice di minaccia in tempo reale si consiglia di visitare il seguente link: Yoroi Cyber Security Index