Il mondo dei ransomware e delle minacce informatiche è in rapida evoluzione.
Come si è visto, i modelli più gettonati dagli attori malevoli sono il cybercrime-as-a-service e il ransomware-as-a-service. Entrambi rispondono all’esigenza di creare servizi malevoli per commettere illeciti e ottenere un ritorno economico in breve tempo.

Nel bel mezzo di questa situazione emerge un nuovo attore malevolo, un ransomware interamente italiano dal modus operandi e dal nome piuttosto particolari: Cambiare rotta ransomware. Ma come sempre andiamo con ordine e affrontiamo per gradi l’argomento.

CambiareRotta ransomware

Chi è Cambiare rotta ransomware?

Emerso attraverso il report della settimana 17-24 maggio redatto da CERT-AGID, Cambiare rotta è un ransomware italiano.
Nello specifico si tratta di un prodotto realizzato mediante Chaos, un generatore di ransomware basato su GUI, che permette la creazione di cryptovirus mediante una serie di opzioni interamente personalizzabili. La deduzione è giunta a seguito dell’analisi di SonicWall, i quali hanno appurato che l’eseguibile è un file creato in .NET tipico di altri campioni provenienti da Chaos.

Ciò che maggiormente desta preoccupazione, come sempre, è il suo modus operandi. Questo perché Cambiare rotta sa essere molto devastante in fase di esecuzione. Pur non compromettendo il funzionamento del sistema operativo, il ransomware rende inaccessibili determinati file critici, crittografandoli con i sempreverdi algoritmi AES e RSA.

Tuttavia, se altri esponenti del genere lasciano sempre note di estorsione e timide speranze di recupero dei dati, Cambiare rotta questo non lo fa.
Infatti, la sua nota di riscatto non fornisce né indicazioni per il pagamento, né gli indirizzi per mettersi in contatto con i cybercriminali.

Ecco infatti il testo della nota di riscatto di Cambiare rotta ransomware.

cambiare rotta ransomware

Come funziona il ransomware?

Nel momento in cui Cambiare rotta si insinua nel sistema, controlla se una sua copia è già in esecuzione.
Tale controllo avviene mediante la funzione AlreadyRunning. Se l’esito è negativo, allora scansiona tutti i dischi fissi per generare l’elenco dei file da crittografare, seguendo l’elenco che ha in memoria. L’unica unità a venire esclusa è C:.

Mediante la funzione encryptDirectory, rileva quali cartelle possono essere crittografate in modo ricorsivo e senza compromettere il corretto funzionamento del sistema operativo. Questo perché il ransomware si assicura che tali directory non siano localizzate sull’unità C: e solo in questo caso avvia la cifratura dell’intero contenuto.

Nel metodo encryptDirectory, citato poc’anzi, è presente un controllo ulteriore, legato direttamente alle dimensioni stesse dei file che saranno criptati.
Se uno di questi supera il peso di 2.117.152 byte, allora viene sovrascritto con una serie casuale di byte dello stesso peso. Tale processo lo rende pressoché irrecuperabile. Un metodo alternativo, chiamato EncryptFile, subentra solo se la dimensione stabilita non è raggiunta dal file che passa sotto il suo scanner.

Per entrambi i casi l’algoritmo di cifratura impiegato è l’AES (Advanced Encryption Standard), da sempre rivelatosi la scelta primaria per i ransomware e per i crypto-malware, in quanto è molto veloce ed estremamente efficace.

In sintesi il processo di criptazione avviene nel seguente modo:

  • Legge tutti i byte del file in esame e li memorizza in un array di byte, sfruttando la funzione bytesToBeEncrypted;
  • Genera una password casuale lunga 20 caratteri, mediante il metodo CreatePassword, per poi convertirla in una sequenza di byte con codifica UTF-8;
  • L’array di byte viene cifrato con l’algoritmo AES e la password generata poco prima, ottenendo un nuovo array di byte cifrati;
  • La password viene salvata e criptata in RSA, mentre i dati criptati sono salvati nel file originale;
  • La password criptata viene generata mediante la funzione RSAEncrypt, che impiega la chiave pubblica RSA integrata;
  • I dati cifrati sono convertiti in una stringa Base64;
  • Il file originale viene rinominato e a questo viene allegata un’estensione casuale di 4 caratteri;

Successivamente Cambiare rotta si accerta che la sua istanza sia in esecuzione con privilegi di amministratore. In questo caso viene chiamata in causa la funzione checkAdminPrivilage. Tale passaggio è cruciale, poiché gli permette di scatenare tutto il potenziale distruttivo intrinseco al suo codice.
Se il controllo da esito positivo, allora il ransomware esegue tre operazioni in sequenza:

  • Elimina le proprie copie shadow;
  • Disabilita la modalità Ripristino del sistema;
  • Cancella ogni copia di backup presente sul sistema;

A processo ultimato, il ransomware sostituisce lo sfondo del desktop in uso dal sistema con una foto degli studenti dell’Università degli Studi di Bari Aldo Moro aderenti all’associazione che da il nome al virus: Cambiare rotta.

Come detto in apertura, i dati non sono recuperabili in nessun modo, poiché la nota di riscatto non fornisce nessuna istruzione su come mettersi in contatto con i criminali. Ciò è ulteriormente confermato dal messaggio presente in seno alla nota.

Un ransomware dal sapore politico

L’elemento che ha destato più di una preoccupazione, è l’allegato presente al termine della sua esecuzione. Infatti Cambiare rotta non è concepito come veicolo per estorcere denaro, quanto più per diffondere un messaggio politico e causare distruzione in maniera deliberata.

Gli autori, al momento della stesura di questo articolo ancora ignoti, sembrano mossi dal desiderio di promuovere una vera e propria ideologia politica, il ché suggerirebbe essere innanzi all’alba di una nuova era di attacchi informatici.

Il messaggio che Cambiare rotta mostra nella sua nota Leggimi.txt, è il seguente:

L'ITALIA DEVE ESSERE PUNITA PER LA SUA ALLEANZA CON LO STATO FASCISTA DI ISRAELE.
QUESTO RANSOMWARE È STATO PROGRAMMATO DA MARXISTI-LENINISTI-MAOISTI 
PER DIFFONDERE IL PENSIERO ANTISIONISTA.
DEI PALESTINESI STANNO MORENDO PER LE TUE AZIONI. IO UCCIDERÒ I TUOI FILE. 
NON C'È MODO DI RECUPERARLI.
PALESTINA LIBERA
ITALIA UNITA ROSSA E SOCIALISTA

Come proteggersi dall’infezione ransomware di Cambiare rotta?

Alla scoperta del nuovo ransomware è seguita una risposta da parte delle autorità italiane, le quali si sono mobilitate per adottare delle contromisure efficaci contro questa minaccia. In particolare gli IoC (Indicatori di Compromissione) sono già stati condivisi con le Pubbliche Amministrazioni accreditate al Flusso IoC del CERT-AGID. Questi includono i dettagli tecnici in merito a Cambiare rotta, che possono aiutare le organizzazioni a rilevarlo nei loro sistemi e a prevenirne l’infezione.

Normalmente una procedura univoca per prevedere un attacco da parte di un qualsiasi ransomware, è pressoché impossibile, ma qui di seguito sono riportati alcuni consigli su come evitare una possibile infezione e mitigare i danni.

  • Aggiornare sempre e costantemente i software di sistema e i protocolli di sicurezza.
    Ci si deve assicurare che la propria organizzazione e i clienti ad essa associati adottino robuste politiche di sicurezza. Tutti i sistemi, l’hardware e i software in uso devono essere costantemente aggiornati con puntualità. Ciò riduce di molto le possibilità di un’infezione da ransomware.
  • Adottare una soluzione di filtraggio e-mail efficace.
    Poiché molti ransomware sfruttano come entry point la posta elettronica, è obbligatorio adottare un filtro in grado di rilevare e-mail di spoofing, phishing e contenenti file malevoli sin dal principio.
  • Implementare un piano di monitoraggio degli endpoint affidabile.
    Senza alcun endpoint sicuro e monitorato, i cybercriminali possono identificare immediatamente le vulnerabilità presenti nella rete della compagnia. Una rete con endpoint rafforzati e monitoraggio costante scoraggia i collettivi a tentare un attacco e permette all’organizzazione di individuare potenziali falle in maniera proattiva.
  • Istruire i propri clienti alle migliori pratiche e limitare i loro privilegi utente.
    L’infiltrazione mirata ad un attacco non avviene tramite l’azienda stessa, ma tramite i clienti ad essa associati, che rappresentano i soggetti più esposti a tali pratiche. Per cui è necessario doverli istruire con pratiche di sicurezza base e spingerli all’uso dell’autenticazione in due fattori sui loro dispositivi. Questo non solo permette alla propria organizzazione di rafforzare la propria cybersecurity, ma aiuta anche i clienti a proteggersi.
  • Effettuare un backup del database e dei propri servizi online.
    Le operazioni di backup sono sempre una delle migliori soluzioni per mitigare i danni e non perdere le informazioni sensibili dei propri clienti. Tuttavia, l’immagine di ripristino risultante deve essere conservata su un server lontano dalla rete principale, in quanto una sua eventuale compromissione vanificherebbe tutti gli sforzi condotti.

In conclusione

Cambiare rotta rappresenta una minaccia significativa per l’Italia, in quanto dimostra che ci si trova all’alba di una nuova era di attacchi informatici. Se fino ad ora abbiamo assistito a minacce che attuavano estorsioni nei confronti di aziende, organizzazioni e singoli individui, questo ransomware cambia le carte in tavola, poiché la tecnologia viene sfruttata per condurre attacchi di natura distruttiva o semplicemente ideologica. Il denaro e i dati sensibili non contano nulla.

Ecco perché ci si deve prodigare per offrire una risposta coordinata ed efficace, in cui privato e pubblico devono necessariamente essere aggiornati e collaborare tra di loro. Le sfide della sicurezza informatica sono in costante aumento e se si vuole che i nostri dati siano al sicuro, allora si deve esercitare una vigilanza continua sulle infrastrutture del Paese e collaborare apertamente gli uni con gli altri.