Nuova minaccia ransomware TeslaCrypt2.0
07/15/2015
Proto: N030715.
Con la presente Email Yoroi desidera informarLa di una nuova minaccia appartenente alla famiglia Ransomware denominata TeslaCrypt2.0.
Nonostante il primo vettore di infezione risalga a Febbraio 2015 la minaccia ha subito in questi ultimi giorni una significativa rivisitazione (TeslaCrypt2.0) che prevede il cambiamento dell’algoritmo di cifratura dei file vittima attraverso una chiave prelevata dalla rete e la rimozione di un file temporaneo per il deposito delle chiavi di cifratura. In assenza di tale chiave sarà molto complesso recuperare i file compromessi (precedentemente cifrati con algoritmo AES-256-CBC) in quanto tale versione ha cessato l’utilizzo di key.data e strage.bin per depositare parte delle chiavi utilizzate per decifrare i contenuti precedentemente cifrati. TeslaCrypt2.0 è capace di propagarsi sull'intero HD dell’host vittima e su ogni media presente su di esso (anche se non montato direttamente ma connesso), come per esempio periferiche USB e condivisioni di rete anche se non montate come tali.
Le principali azioni di TeslaCrypt2.0 prevedono:
- Cifratura dei file vittima attraverso algoritmo AES-256-CBC.
- Uso delle seguenti estensioni: .ecc, .ezz .exx .ezz.
- Presenza di una pagina HTML di richiesta di riscatto come da immagine allegata.
- Files più grandi di 268 MB non vengono considerati
- TeslaCrypt comunica con il proprio C&C (Command and Control) al fine di prelevare la chiave e prelevare i dettagli di pagamento attarverso tor2web.
- Algoritmo di cifratura prelevato da OpenSSL .
- Rimozione dei Shadow Copies.
- Comunicazione cifrata attraversante TOR.
- Tecniche di evasioni per "automatic inspection".
- Simulazione schermate di riscatto del più noto ransomware CryptoWall.
Schermata di riscatto TeslaCrypt2.0 (Simulazione messaggi utilizzati da Cryptowall)
L’utilizzo di tecniche di evasione rende meno efficace la protezione perimetrale in loco basata su odierni strumenti di IPS/AntiSpam. Yoroi consiglia di mantenere alto il livello di guardia all’interno della vostra organizzazione, mantenere signature e sandbox aggiornate e verificare periodicamente la sicurezza degli apparati server. Yoroi consiglia di mantenere alto il livello di consapevolezza dei vostri utenti, avvisandoli periodicamente delle minacce in corso e di l'utilizzare di un team di esperti per salvaguardare la sicurezza del perimetro "cyber".
Per avere un indice di minaccia in tempo reale si consiglia di visitare il seguente link: Yoroi Cyber Security Index
