Alla scoperta di Key Wolf ransomware. Il ransomware che non chiede un riscatto

Davide Santoro : 31 Marzo 2023 16:00

Il Cyber Threat Intelligence team di Bi.zone ha individuato una nuova minaccia che si fa chiamare Key Wolf, un threat actor che agisce mediante l’uso di un ransomware. Ma a differenza dei ransomware e delle cyber-gang a cui siamo abituati, non chiede alcun riscatto e non è mosso da interesse economico.

Inoltre – almeno da quello che sembrerebbe finora – sembra non essere a “target”, ma colpisce nel mucchio mediante l’invio massivo di email. Ma andiamo ad analizzare meglio questa nuova minaccia che, come ci insegna la storia recente, potrebbe essere copiata anche da altri gruppi.

Key Wolf

Il gruppo Key Wolf in queste ore sta bombardando le email degli utenti russi con un ransomware che, in caso di avvio, non contiene alcuna richiesta di riscatto e non fornisce alcuna indicazione per recuperare i file infetti.

Attualmente sembrerebbe che Key Wolf stia utilizzando due file malevoli con nomi pressoché identici “Информирование зарегистрированных.exe” e “Информирование зарегистрированных.hta” che verrebbero inviati alle potenziali vittime – del tutto casuali come anticipato prima – via email.

Il primo è un archivio autoestraente che contiene due file: gUBmQx.exe e LICENSE, mentre il secondo contiene uno script per il download di gUBmQx.exe che viene scaricato dalla nota e discussa piattaforma di sharing ZippyShare che, come confermato da un post sul loro blog ufficiale smetterà di funzionare a fine marzo 2023.

Il file in questione contiene il ransomware del Key Group, a sua volta basato su un altro programma malevolo, Chaos di cui si parla in un noto forum underground fin dal giugno 2021 quando l’utente ryukRans scrisse un post condividendo un link Github per il Chaos Ransomware Builder.

Da allora sono state rilasciate diverse versioni e, nel giugno 2022, l’utente chaos_exe ha lanciato – all’interno del medesimo forum underground – una campagna Raas(ransomware-as-a-service) – con l’intento esplicito di reclutare pentesters

E’ particolarmente interessante notare che il ransomware di Key Wolf è stato creato utilizzando Chaos Ransomware Builder 4.0.

Funzionamento del ransomware

Analizziamo ora il funzionamento del ransomware di Key Wolf in dettaglio:

La prima cosa che farà il ransomware una volta avviato sarà quella di controllare se esista un processo con lo stesso nome e, in caso affermativo (e, quindi, con il ransomware già in esecuzione), il processo appena avviato si interromperà, mentre, in caso negativo, il processo si avvierà e compierà queste azioni:

• Se il campo checkSleep è impostato su true e se la directory di avvio non è %APPDATA%, il file .exe attenderà il numero di secondi specificato nel campo sleepTextbox.
• Se checkAdminPrivilage è true, il file dannoso si copia in %APPDATA% e avvia un nuovo processo come amministratore utilizzando runas. Se l’operazione viene rifiutata dall’utente, la funzione riparte. Tuttavia, se i nomi coincidono ed il programma è stato lanciato da %APPDATA% la funzione si ferma (quindi non c’è recursione infinita durante l’avvio).
• Se checkAdminPrivilage è false, ma checkCopyRoaming è true, si verifica lo stesso processo di quando checkAdminPrivilage è true, ma senza l’escalation dei privilegi tramite runas.
• Se checkStartupFolder è true, viene creato un collegamento Web a un file dannoso in %APPDATA%\Microsoft\Windows\Start Menu\Programs\Startup, il che significa che il file verrà scaricato automaticamente.
• Se checkAdminPrivilage è true allora si attiveranno questi processi:
  

1. Se checkdeleteShadowCopies è abilitato, la funzione elimina le copie shadow utilizzando vssadmin delete shadows /all /quiet & wmic shadowcopy delete.
2. Se checkDisableRecoveryMode è abilitato, la funzione disattiva la modalità di ripristino utilizzando bcdedit /set {default} bootstatuspolicy ignoreallfailures & bcdedit /set {default} recoveryenabled no.
3. Se checkdeleteBackupCatalog è abilitato, la funzione elimina tutte le copie di backup utilizzando wbadmin delete catalog -quiet.
4. Se checkSpread è true, il malware si copia su tutti i dischi tranne C. Il suo nome file è impostato nella configurazione spreadName (in questo caso, surprise.exe).
5. A questo punto crea una nota in %APPDATA%\\\ e la apre a schermo. La nota contiene il seguente testo: We are the keygroup777 ransomware we decided to help Ukraine destroy Russian computers, you can help us and transfer money to a bitcoin wallet .
6. A questo punto installa la seguente immagine come tema del desktop:
   
   

Il malware andrà a cifrare ogni disco(tranne il disco C) e le seguenti cartelle in modo ricorsivo:

• %USERPROFILE%\\Desktop
• %USERPROFILE%\\Links
• %USERPROFILE%\\Contacts
• %USERPROFILE%\\Desktop
• %USERPROFILE%\\Documents
• %USERPROFILE%\\Downloads
• %USERPROFILE%\\Pictures
• %USERPROFILE%\\Music
• %USERPROFILE%\\OneDrive
• %USERPROFILE%\\Saved Games
• %USERPROFILE%\\Favourites
• %USERPROFILE%\\Searches
• %USERPROFILE%\\Videos
• %APPDATA%
• %PUBLIC%\\Documents
• %PUBLIC%\\Pictures
• %PUBLIC%\\Music
• %PUBLIC%\\Videos
• %PUBLIC%\\Desktop

A questo punto il malware andrà a controllare ogni file nelle directory(ed ovviamente nelle sotto directory) selezionate e, in base alle dimensioni, effettuerà le seguenti operazioni:

1. Se il file è inferiore a 2,117,152 byte verrà cifrato con AES256‑CBC, la password è di 20 byte ed utilizza questo set di caratteri: abcdefghijklmnopqrstuvwxyzABCDEFGHIJKLMNOPQRSTUVWXYZ1234567890*!=&?&/ ed è generata con l’aiuto della funzione standard Random(). Dopo la crittografia la password viene scritta nen tag XML che viene crittografato con RSA1024‑OAEP e codificato in Base64.
2. Se il file è di 2.117.152 byte o maggiore ma comunque inferiore a 200.000.000 di byte, il numero di byte casuali generati ed aggiunti al file è pari ad un quarto della dimensione del file stesso, i byte vengono aggiunti con la stessa modalità descritta sopra ed il file contiene una password cifrata irrecuperabile ed è teoricamente indecifrabile.
3. Quando la dimensione del file supera i 200.000.000 di byte, viene aggiunto al file un numero casuale di byte compreso tra 200.000.000 e 300.000.000 di byte con la stessa procedura ed anche qui il file viene cifrato con una password randomica ed è teoricamente irrecuperabile.

Il ransomware ha anche un’altra strana funzione, controlla se negli appunti è presente un indirizzo bitcoin e, in caso affermativo, lo sostituisce con un indirizzo riconducibile agli attaccanti.

Allo stato attuale dei fatti possiamo affermare che questo gruppo non sembra mosso da interessi economici e la finalità dello stesso sia quella di danneggiare il maggior numero di computer russi, tuttavia, sembra sia ancora troppo presto per poter dare una matrice ed un obiettivo certo al gruppo, non sappiamo se si tratti di hacktivisti, di semplici vandali del web o, magari, di un gruppo che voglia sfruttare la situazione geopolitica internazionale per pubblicizzarsi in vista di un possibile futuro.