I ransomware si confermano gli strumenti di punta del cybercrime, con continui miglioramenti e avanzamenti sia nelle tecniche di criptazione che nelle tattiche di evasione delle soluzioni di sicurezza. Nel corso degli anni, i ransomware hanno migliorato se stessi passando da payload PE a payload non PE standalone, usando diversi compilatori e packer sempre più complessi. Per restare al passo con tali variazioni, le soluzioni di individuazione comportamentale e Anti Ransomware giocano un ruolo ormai vitale, dato che l'attività dei ransomware è mirata e nessuno può ritenersi immune e al sicuro. 

Gli autori di ransomware hanno iniziato a iniettare i payload dannosi direttamente nei processi genuini di sistema di Windows, processi che solitamente sono inseriti in whitelist poichè ritenuti sicuramente affidabili: è così che i ransomware riescono spesso a criptare i file superando le soluzioni di sicurezza. Se si aggiunge a ciò la continua ricerca che i cybercriminali fanno di vulnerabilità da sfruttare per violare i sistemi, si capisce quanto il problema ransomware sia qualcosa di inevitabile che non si può, semplicemente, ignorare. 

Recentemente abbiamo individuato una famiglia ransomware (chiamata Thanos) che tenta di evadere le tradizionali soluzioni Anti Ransomware implementando diverse tecniche, compresa una tecnica di iniezione di processi e la recentissima tattica RIPplace. Lo scorso anno un ricercatore di Nyotron ha pubblicato un cosiddetto proof of concept (POC) riguardo la tattica RIPplace, con la quale si possono potenzialmente criptare i file  senza essere individuati dalle soluzioni Anti Ransomware o di Individuazione e Risposta. 

Il ransomware Thanos è dotato di molteplici funzioni pensate per cercare di aggirare e/o bypassare i prodotti antivirus. 

Il vettore di infezione non è chiaro, ma c'è uno script PowerShell che contiene, a sua volta, un altro PowerShell con doppia codifica Base64, contenente codice C# inline. Il primo script esegue lo script PowerShell integrato, quindi crea processi di notepad in modalità nascosta. Il codice C# che si trova nel secondo script è sostanzialmente preso dal codice Urban Bishop del framework Sharp-Suite presente su Github. L'identificativo dei processi di blocco note creati (PID) viene passato come argomento a questo codice C#. Quindi lo script viene diffuso lateralmente a tutte le macchine collegate in rete. Nella foto sotto il flusso di esecuzione dei diversi moduli

La funzione call contiene uno shellcode criptato in Base64, che viene poi iniettato nei processi notepad. E' qui, nello shellcode, che si trova il payload .NET criptato. Questo payload è la variante del ransomware Thanos e avvierà la criptazione dei file presenti sulla macchina bersaglio. 

Il framework di Thanos contiene differenti moduli. Ecco i più interessanti:

Thanos infine cerca di terminare una lunga serie di processi correlati a soluzioni antivirus

La cancellazione delle copie shadow dal sistema usando vssadmin.exe e di tutti i file di backup presenti (anche su drive differenti) cancella ogni possibilità di ripristino del sistema (tramite il comando cmd.exe /c rd /s /q %SYSTEMDRIVE%\\$Recycle.bin).

Una volta che i file sono stati criptati, Thanos aggiunge l'estensione di criptazione .locked. La criptazione non viene comunque eseguita su tutte le tipologie di file, ma solo su alcuni formati bersaglio:

I file sono criptati con AES-CBC: le chiavi di criptazione usate sono criptate invece con l'algoritmo RSA e sono aggiunte nella nota di riscatto come si vede in foto sotto:

La tecnica RIPlace è la caratteristica peculiare di Thanos, usata per evadere le soluzioni anti ransomware. 

Con questa tecnica, un malware può chiamare DefineDosDevice, una funzione genuina che crea un collegamento simbolico e può dare un nome arbitrario al percorso file di destinazione. Quando si effettua una chiamata per la funzione rename , il sistema non riesce ad analizzare il percorso di destinazione nella funzione di callback quando è in uso la routine comune FltGetDestinationFileNameInformation. Ecco che invece di ricevere il nuovo percorso, si ottiene un errore ma la chiamata Rename ha successo. Così il malware può modificare i file, criptandoli, evitando l'individuazione da parte delle soluzioni AV. Informazioni più dettagliate su RIPlace sono disponibili qui, nel report di Nyotron. 

Non solo: oltre a questo Thanos può tentare di sovrascrivere l'MBR (rendendo inavviabile il sistema operativo), per mostrare questo messaggio

7BDD4B25E222B74E8F0DB54FCFC3C9EB

AF0E33CF527B9C678A49D22801A4F5DC
A15352BADB11DD0E072B265984878A1C

BE60E389A0108B2871DFF12DFBB542AC

98880A1C245FBA3BAE21AC830ED9254E

E01E11DCA5E8B08FC8231B1CB6E2048C