Campagna di Attacco Ursnif con Ransomware

 

Proto: N040718.

Con la presente Yoroi desidera informarLa relativamente al rilievo di pericolose variazioni all’interno delle ondate di attacco rivolte a numerose organizzazioni italiane (rif. Early Warning N040618). 

Benché le tecniche di propagazione dell’attacco continuino a sfruttare risposte fittizie a comunicazioni email realmente intercorse tra la vittima ed il mittente, il quale può essere stato a sua volta vittima di compromissioni da parte della botnet Necurs, sono stati osservati cambiamenti importanti nella tipologia di minacce scaricate all’apertura dei documenti malevoli “Richiesta.doc” in allegato.

In dettaglio, le nuove ondate di attacco possono scaricare due minacce distinte: varianti Ursnif in grado di trafugare dati, fornire un accesso backdoor ed intercettare attività utente, ed un ulteriore Trojan/Downloader, il quale sta recentemente distribuendo varianti del pericoloso Ransomware GandCrab, capace di rendere inutilizzabili file e documenti raggiungibili dall’host vittima, sia locali che in condivisioni di rete.


Figura 1. Messaggio di riscatto GandCrab



Tale circostanza, unitamente all’efficacia delle tecniche malspam utilizzate dai cyber-criminali, rendono la campagna di attacco molto pericolosa per utenti di rete ed Organizzazioni, pertanto Yoroi suggerisce di sensibilizzare le vostre utenze relativamente alla possibile ricezione di email malevole caratterizzate da:

Subject: “Re:  <OGGETTO_REALE_DI_SCAMBI_EMAIL_PREGRESSI>”
Body:
Please see attachment “Richiesta.doc” 
<BODY_REALE_DI_SCAMBI_EMAIL_PREGRESSI>
Attachment: 
<VARIANTI *_Richiesta_*.doc>


Di seguito si riportano gli indicatori di compromissione identificati:

  • Dropurl(doc):
    • hxxp:// paperdongo[.com/4646252/index.php
    • hxxp:// paperdongo[.com/4646252/pgen/stat.tkn
    • hxxp:// tuberkonga[.com/37716262/xxxe.tkn
    • hxxp:// paperdongo[.com/4646252/
    • hxxp:// paperdongo[.com/37716262/
    • hxxp:// tuberkonga[.com/37716262/
    • hxxp:// tuberkonga[.com/4646252/
    • hxxp:// imameraos[.com/4646252/
    • hxxp:// imameraos[.com/37716262/
  • Dropurl(downloader):
    • hxxp:// 91.210.104[.247/luc4m.txt
    • hxxp:// 91.210.104[.247/putty.exe
  • Components (Ursnif)
    • hxxp:// 173.44.42[.153/clientIT.rar
  • C2 (GrandCrab):
    • www.billerimpex[.com
    • www.macartegrise[.eu
    • www.poketeg[.com
    • perovaphoto[.ru
    • asl-company[.ru
    • www.fabbfoundation[.gm
  • C2 (ursnif):
    • goiqwuesindjqwnd[.com
    • uqwdhuszhyqhwe[.com
    • foqiweuqwenasjdd[.com
    • uhqweuansdjqwndq[.com
    • pqiwoejsindqweq[.com
    • wiehqwuensdqwdq[.com
    • woioisdiqnwmdw[.com
    • wiuheusndweenas[.com
    • hxxps:// 95.181.178[.128/images/
  • Hash:
    • af9af0ccac2e303dfcf8eed2a8c3135ca18f510ef9508324258b83d6234789ab doc
    • 52ec7b1dbf994ac136393920f087cd54642b4e668d2212944d55f2d22df9f3b6 doc
    • 52ec7b1dbf994ac136393920f087cd54642b4e668d2212944d55f2d22df9f3b6 doc
    • 754a049ea760de035ad863baeaca100047bfa14b8b7ad01fb521321fe91ff5b6 stat.tkn
    • ca5c9dcd28b358a05cf0f3cda193eb48861e9b0a51e8656c23be5caedf1d2012 xxxe.tkn
    • 2f022dacd013c10da72759a20cf7392637460f983d59631ebf636328d0f977ee  putty.exe
Yoroi consiglia infine di mantenere alto il livello di consapevolezza degli utenti, avvisandoli periodicamente delle minacce in corso e di utilizzare un team di esperti per salvaguardare la sicurezza del perimetro “cyber”. Per avere un indice di minaccia in tempo reale si consiglia di visitare il seguente link: Yoroi Cyber Security Index