Gli esperti di cyber security di Recorded Future hanno individuato un nuovo ransomware-as-a-service in rete pubblicizzato come un private ransomware builder contenente 43 differenti opzioni di configurazione. Il client di Thanos è scritto in C# e presenta caratteristiche generali di funzionamento non particolarmente articolate, incorporandone altre più avanzate come la tecnica nota come RIPlace per evitare il rilevamento da parte degli apparati di sicurezza.
L’aggiornamento del ransomware builder Thanos con l’implementazione di RIPlace, è stato pubblicizzato all’inizio di febbraio 2020 all’interno di forum di settore: gli attori malevoli offrivano la possibilità di sottoscrivere un abbonamento mensile “light” o a vita “company”. Quest’ultimo includeva caratteristiche aggiuntive rispetto al primo, come funzionalità di RootKit, funzione di propagazione sulla LAN target e tecnica di evasion detection RIPlace.
“Thanos builder presenta alcune funzioni attivate di default, mentre altre possono essere inserite successivamente, grazie a un’interfaccia grafica completa, che offre la possibilità di implementare diverse opzioni durante la fase di configurazione. Una volta completata la fase di configurazione, il builder genera un file eseguibile .NET all’interno della directory desiderata. I file binari ottenuti vengono offuscati da Thanos attraverso l’utilizzo di due tecniche differenti. La prima sfrutta una versione piratata del software di offuscamento commerciale SmartAssembly distribuito dalla società Redgate, mentre la seconda è costituita da un’opzione di configurazione che permette la creazione di un file di installazione di tipo Inno Setup, in cui è contenuto il client del ransomware generato”.
ll client di Thanos presenta diverse funzioni e contiene tre tipologie di attività principali: la prima fase consiste fondamentalmente nell’esecuzione di opzioni avanzate impostate durante la configurazione, le quali includono azioni come Kill Defender, Anti-VM e AMSI Bypass.
“Una volta eseguite le opzioni impostate durante la fase di configurazione, il client esegue ulteriori operazioni che garantiscono il suo corretto funzionamento. Nello specifico termina alcuni processi ed elimina i file dei backup e le shadow copies al fine di nascondere le tracce della sua presenza sul sistema target.
Infine, il client Thanos cercherà in tutte le unità di storage collegate e cripterà i file con le estensioni che l’attaccante ha impostato in fase di configurazione, sostituendo l’estensione originaria con crypted.
Se il protocollo FTP è abilitato, prima di essere crittografati, i dati verranno inviati a un server controllato dagli attaccanti. Dopo aver criptato i file, il ransomware salverà la nota di riscatto, denominata “HELP_ME_RECOVER_MY_FILES.txt”, sia sul desktop che in tutte le cartelle dove sono stati cifrati i file.
Thanos è in grado anche di cambiare lo sfondo della macchina compromessa impostando un’immagine che viene scaricata da un server HTTP controllato dall’attaccante”.
https://csirt.gov.it/contenuti/thanos-il-nuovo-ransomware-as-a-service-bl01-200616-csirt-ita
https://www.recordedfuture.com/thanos-ransomware-builder
