Analisi di Blacksnake Ransomware

Un nuovo ransomware-as-a-service emerge da una famiglia già esistente e largamente collaudata dai collettivi di cybercriminali.
Il mercato dei ransomware non è mai stato così vivo e florido come negli ultimi anni. A causa dell’aumento esponenziale di connessioni, sistemi di connessione da remoto, mobile e criptovalute esplose nel vero senso del termine, era solo questione di tempo prima che qualcuno decidesse di prendere di mira anche gli utenti semplici.

Questo qualcuno prende il nome di BlackSnake, un ransomware subdolo e molto efficace messo a punto dal collettivo dello stesso nome.
Pur non essendo estremamente diffuso come altri illustri esponenti, questa minaccia presenta caratteristiche e moduli da non dover sottovalutare.
Ma come sempre andiamo con ordine e analizziamo l’argomento per gradi.

Nello specifico, in questo articolo parleremo di:

Le origini di BlackSnake
Come funziona BlackSnake?
Best practice contro BlackSnake e ransomware-as-a-service

Le origini di BlackSnake

La prima volta in cui si è apertamente parlato di BlackSnake, è stato nell’agosto 2022, quando in un forum di hacking apparve il gruppo BlackSnake. Attraverso un post comunicarono il loro essere alla ricerca di affiliati, a cui chiedevano solo il 15% del profitto di un attacco condotto attraverso il loro ransomware. La proposta risultò sin dal principio molto appetibile, in quanto la percentuale media richiesta da un collettivo è il 30%.

La prima variante del ransomware venne identificata il 28 febbraio 2023 e balzò agli onori della cronaca non solo per le caratteristiche di criptazione dei file e della doppia estorsione, ma soprattutto per integrare al suo interno un modulo clipper capace di prendere di mira i portafogli di criptovalute in possesso degli utenti.

Ciò rende chiaro che BlackSnake non prende di mira aziende, o enti pubblici, ma solo utenti semplici.
La tesi è avvalorata dal fatto che il team dietro la sua creazione non possiede un sito su cui pubblicare i dati trafugati, oltre all’avere una bassissima richiesta nel mercato dei ransomware-as-a-service.

In aggiunta a ciò, si è scoperto che il ransomware non è frutto di un lavoro di scrittura da zero, ma è una diretta evoluzione di una minaccia esistente e conosciuta: Chaos ransomware.

Come funziona BlackSnake?

Il ransomware è stato sviluppato interamente in .NET ed è in grado di offuscare le proprie stringhe di codice importanti sfruttando proprio le tecniche comuni del linguaggio. Come tale prende di mira solo ed esclusivamente i sistemi operativi Microsoft, in particolare Windows 10 e Windows 11.

A inizio esecuzione, BlackSnake effettua un controllo della lingua del sistema operativo in uso sul computer della vittima, terminandola se questa è localizzata in Turchia o Azerbaijan. Inoltre, si accerta che la sua esecuzione avvenga tramite svchost.exe e se nella cartella AppData di Windows non è presente una nota ransom denominata UNLOCK_MY_FILES.txt: segno dell’infezione in corso.

Se questi controlli danno esito negativo, allora BlackSnake si copia all’interno della cartella e avvia il processo di infezione, mascherandosi da task svchost.exe e stabilendo una persistenza nel registro di sistema alla posizione HKEY_CCURRENT_USER\SOFTWARE\oAnWieozQPsRK7Bj83r4.

Fatto ciò, il ransomware crea un nuovo thread ed esegue il modulo clipper, in modo da intercettare e modificare i dati delle clipboard per i propri scopi.
Nello specifico, con un monitoraggio costante, BlackSnake è in grado di intercettare il portafogli Bitcoin dell’utente, sostituendo l’indirizzo vero con quello dei cybercriminali. Così facendo ogni movimento di valuta viene dirottato senza che l’utente possa accorgersene.

Tuttavia, il modulo clipper non è cosa nuova, in quanto era già apparsa in passato e impiegatoin altre famiglie di ransomware, di cui si ricordano:

Phreaker
Sirattacker
Magnus
Baal
Helphack
Bettercallsaul

Quando l’esecuzione di questo modulo termina, BlackSnake passa alla fase di criptazione, creando una nuova voce nel registro di sistema che viene lanciata ad ogni avvio di sistema, in modo da mantenere una persistenza.
La voce in questione è localizzata a: HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

Prima che la criptazione vera e propria inizi, il ransomware crea una lista di cartelle da escludere dal processo, assieme a tutti i file che si trovano al loro interno, o che hanno un riferimento ad esse.
Queste sono:

Program Files
Program Files (x86)
Windows
$Recycle.Bin
MSOCache
Documents and Settings
Intel
PerfLogs
old
AMD
NVIDIA
ProgramData
appdata\local
appdata\locallow
users\all users
\ProgramData

Il processo di criptazione è piuttosto diretto e suddiviso in diversi stadi.
BlackSnake fa uso di una funzione per generare una stringa casuale di lunghezza pari a 40 byte, per poi riprendere una chiave pubblica di tipo RSA predefinita e codificata direttamente nel malware stesso. Essa cripta la stringa generata poco prima e produce una chiave adatta per la criptazione AES.

Quindi il ransomware cripta tutti i file contenuti nelle restanti cartelle del sistema mediante l’algoritmo AES e appende la chiave generata poc’anzi alla fine del file criptato, il quale è codificato in base64. Terminata questa fase, l’ultima cosa che aggiunge è l’estensione .pay2unlock a tutti i file che ha criptato e rilascia la nota ransom UNLOCK_MYFILES.txt, in cui è riportata ogni condizione relativa alla doppia estorsione e gli indirizzi email dei cybercriminali, con cui la vittima può mettersi in contatto.

Best practice contro BlackSnake e ransomware-as-a-service

Una procedura univoca per prevedere un attacco da parte di un ransomware come BlackSnake, è pressoché impossibile, ma restano sempre dei consigli su come poter evitare una possibile infezione e mitigare i danni.

Aggiornare sempre e costantemente i software di sistema e i protocolli di sicurezza
Ci si deve assicurare che la propria organizzazione e i clienti ad essa associati adottino robuste politiche di sicurezza. Tutti i sistemi, l’hardware e i software in uso devono essere costantemente aggiornati con puntualità. Ciò riduce di molto le possibilità di un’infezione da ransomware.
Adottare una soluzione di filtraggio e-mail efficace
Poiché questo tipo di ransomware sfrutta come entry point la posta elettronica, è obbligatorio adottare un filtro in grado di rilevare e-mail di spoofing, phishing e contenenti file malevoli sin dal principio.
Implementare un piano di monitoraggio degli endpoint affidabile
Senza alcun endpoint sicuro e monitorato, i cybercriminali possono identificare immediatamente le vulnerabilità presenti nella rete della compagnia. Una rete con endpoint rafforzati e monitoraggio costante scoraggia i collettivi a tentare un attacco e permette all’organizzazione di individuare potenziali falle in maniera proattiva.
Istruire i propri clienti alle migliori pratiche e limitare i loro privilegi utente
L’infiltrazione mirata ad un attacco non avviene tramite l’azienda stessa, ma tramite i clienti ad essa associati, che rappresentano i soggetti più esposti a tali pratiche. Per cui è necessario doverli istruire con pratiche di sicurezza base e spingerli all’uso dell’autenticazione in due fattori sui loro dispositivi. Questo non solo permette alla propria organizzazione di rafforzare la propria cybersecurity, ma aiuta anche i clienti a proteggersi.
Effettuare un backup del database e dei propri servizi online
Le operazioni di backup sono sempre una delle migliori soluzioni per mitigare i danni e non perdere le informazioni sensibili dei propri clienti. Tuttavia, l’immagine di ripristino risultante deve essere conservata su un server lontano dalla rete principale, in quanto una sua eventuale compromissione vanificherebbe tutti gli sforzi condotti.

In conclusione

Ormai è pratica comune per nuovi collettivi, team di hacker e cybercriminali prendere un ransomware già esistente e modificarlo per i propri scopi, aggiungendo nuove funzionalità e rafforzando le sue capacità di camuffamento. Proprio come accaduto con Onyx o Yamashima, entrambi derivanti dalla famiglia Chaos, anche BlackCat adesso può dirsi associato a quest’ultima.

Come sempre il consiglio migliore per evitare di rimanere esposti ad una sua infezione è non abbassare mai la guardia e avere coscienza di ciò che si sta effettivamente installando sul proprio sistema.

Autore articolo
Gli ultimi articoli

Aldo Vernaglione

Classe 1993, ingegnere gestionale e Adobe Certified Professional in Graphic Design & Visual Design. Ho mosso i primi passi nel campo informatico grazie alla passione per i videogiochi, che mi ha portato ad approfondire i motori grafici e la progettazione visiva. Scrivo da quando ero bambino e, con il tempo, la scrittura è diventata parte integrante del mio lavoro nel mondo della comunicazione e della sicurezza informatica.

Cookie	Durata	Descrizione
cookielawinfo-checkbox-analytics	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Analytics".
cookielawinfo-checkbox-functional	11 months	The cookie is set by GDPR cookie consent to record the user consent for the cookies in the category "Functional".
cookielawinfo-checkbox-necessary	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookies is used to store the user consent for the cookies in the category "Necessary".
cookielawinfo-checkbox-others	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Other.
cookielawinfo-checkbox-performance	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Performance".
viewed_cookie_policy	11 months	The cookie is set by the GDPR Cookie Consent plugin and is used to store whether or not user has consented to the use of cookies. It does not store any personal data.