Si chiama Smaug il ransomware as a Service (RaaS), scoperto dai ricercatori di sicurezza Anomali in grado di infettare macchine Windows, macOS e Linux e disponibile tramite un sito Dark Web Onion.
Infatti è sul dark web, da sempre un punto di aggregazione per organizzazioni e criminal hacker, che anche chi non ha la capacità di sviluppare il proprio malware può trovare (nei marketplace underground) un pacchetto pronto all’uso.
Nel caso in esame le modalità risultano ancora più semplici. Per lanciare un attacco, gli acquirenti devono registrarsi, creare una campagna e quindi iniziare a distribuire il ransomware.
Sarà il servizio a gestire l’acquisto e il monitoraggio delle chiavi di decrittazione per le vittime.
La vendita sul forum
Risale a Maggio 2020, la prima offerta promozionale apparsa sul forum “Exploit.in”. I promoter, in quella occasione, erano disposti a rinunciare addirittura alla quota di registrazione per i primi cinque acquirenti. Il post mostrava oltre che le funzionalità peculiari di Smaug:
- capacità di infettare macchine che utilizzano diversi sistemi operativi (64bit) eludendo i prodotti antivirus tradizionali;
- possibilità di attivare la “company mode”, applicando un’unica chiave a un insieme di host infetti;
- funzionalità offline;
Anche le modalità di pagamento:
- quota di registrazione 0,2 BTC (circa 2.000 dollari);
- commissioni di servizio del 20% sui guadagni.
Registrazione e funzionalità del pannello di controllo del servizio
Gli sviluppatori di Smaug hanno condiviso gli screenshot del prodotto sul loro sito Onion, offrendo alcune informazioni su come il prodotto deve essere utilizzato, e un servizio di supporto sia per l’assistenza che per richieste di funzionalità extra a pagamento.
Il sito offre un modulo per la registrazione con captcha, al termine della quale, gli utenti vengono indirizzati a pagare 0,2 BTC a un portafoglio Bitcoin specificato e solo dopo l’avvenuto pagamento attivati entro un certo lasso di tempo.
Dopo la registrazione avvenuta con successo, l’utente viene indirizzato alla dashboard di Smaug, un’interfaccia utente funzionale e molto intuitiva, con la quale l’utente può cambiare la propria password (dal menù settings) e creare campagne con messaggi di riscatto e date di scadenza personalizzabili.
Una volta creata la campagna, la dashboard consente all’utente di scaricare il payload pertinente ai target secondo i sistemi operativi scelti (Mac, Linux e Windows) e tenere traccia degli aggiornamenti circa l’evoluzione dell’infezione, delle date e dei profitti accumulati.
Solo dopo che risulti almeno un riscatto versato, l’utente può accedere alla voce di menù “Withdraw” per il prelievo su un determinato portafoglio BTC. La pagina riporta il saldo corrente (con la commissione del 20% trattenuta) e il numero di pagamenti effettuati.
Il ransomware SMAUG
Anomali Threat Research dall’analisi di alcuni campioni rilevati (esemplari Windows e Linux), ha constatato che i binari Smaug, implementati in linguaggio Golang in circa 300 righe di codice, non contengono alcun timestamp che avrebbero permesso di fissare le relative date di creazione. I ricercatori hanno potuto comunque stimare il periodo di pubblicazione basandosi sulla data di rilascio del compilatore Golang adoperato (v.1.14.2, Aprile 2020).
Gli stessi hanno appurato, inoltre (agli inizi di Agosto), ancora una bassa percentuale di rilevamento da parte dei più diffusi motori antivirus.
Crittografia e richiesta di riscatto
Dal campionamento effettuato è trapelato, altresì, che per la crittografia il malware invoca una coppia di “goroutine”:
- La prima routine analizza ogni partizione alla ricerca di file con determinate estensioni predeterminate;
- la seconda routine crittografa secondo lo standard AES in modalità Cipher Block Chaining (CBC) tutti i file identificati secondo elenco.
Infine la richiesta di riscatto, archiviata nel file binario come stringa codificata Base64, viene trascritta in chiaro su un file di testo (“HACKED.txt”) e salvata in tutte le cartelle contenenti i file crittografati:
“Your files have been encrypted using military grade encryption. They can never be accessed again without buying a decryption key. You can buy the decryption key at http://smaugrwmaystthfxp72tlmdbrzlwdp2pxtpvtzvhkv5ppg3difiwonad[.]onion. To access the site you need Tor Browser”.
Come difendersi
Anche se Smaug è un RaaS multipiattaforma relativamente semplice rispetto ad altri ransonware attivi (non è previsto l’arresto dei processi in esecuzione che possono bloccare la crittografia di alcuni file e non vengono eliminati i backup e i file delle copie shadow su Windows) la sua elevata fruibilità apre le porte verso un targeting potenzialmente più ampio.
Poiché al momento Smaug può essere veicolato solo mediante attacchi phishing/social engineering e/o la compromissione di siti web con tecniche “drive by download”, rimangono sempre validi gli accorgimenti di sicurezza minimi per cercare di limitarne l’impatto:
- effettuare regolarmente un backup;
- mantenere aggiornati i propri sistemi e tool di sicurezza;
- avere contezza che le insidie nascoste nel cyberspazio sempre più spesso sfruttano la complicità inconsapevole umana.
È anche recente l’alert diramato dal CSIRT – Italia, che ha reso pubblici gli IoC di un campione rilevato.
MD5
6b083c1bfd21eea2a3f18283f1f3c5f5
SHA1
929b10f78565660535a07917d144d00b0c117571
SHA256
f2363a355fe226cb2f7f1afa72daecc5edfe1cb0edc1295856fb3f874d941b6d
Malware – sample
Corporate_Detail-June.2020.exe|6b083c1bfd21eea2a3f18283f1f3c5f5