FireEye: C’è un nuovo ransomware in circolazione, si chiama Ragnarok e sfrutta la vulnerabilità in Citrix ADC

C’è un nuovo ransomware in circolazione: si chiama Ragnarok, sfrutta le recenti vulnerabilità scoperte in Citrix ADC (Application Delivery Controller, NetScaler ACD) ed è in grado di bloccare Windows Defender. Lo hanno scoperto i ricercatori di cyber security di FireEye. Il cybercrime, una volta rilevati i dispositivi ACD, scarica ed esegue vari script che ricercano sistemi Windows affetti dalla vulnerabilità di EternalBlue. A quel punto viene iniettata una DLL che si occupa di scaricare ed installare il codice malevolo. Durante la ricerca dei file da cifrare, peraltro, il ransomware esclude i file con l’estensione “.exe”, “.dll”, “.sys” e tutti i file il cui percorso contiene le seguenti stringhe: content.ie5, \temporary internet files, \local settings\temp, \appdata\local\temp, \program files, \windows, \programdata e $. Infine, dopo aver cifrato i file, verrà creato una nota di riscatto contenente le istruzioni e i contatti per procedere al pagamento.

Gli esperti di cyber security: Il malware del cybercrime blocca Windows Defender. Ma, come altri, non colpisce utenti in Russia e nei paesi dell’area

Gli esperti di cyber security sottolineano che Ragnarok, oltre a essere in grado di bloccare Windows Defender, cerca anche di cancellare la copia shadow, disabilitare il ripristino automatico all’avvio di Windows e disattivare Windows Firewall. Il ransomware, inoltre, come altri malware dello stesso tipo, non cifra i file presenti su computer di utenti di Russia e altri Paesi ex Sovietici. La vulnerabilità CVE-2019-19781 di Citrix ACD era già stata sfruttata dal cybercrime per infettare dispositivi. Ciò grazie al payload NOTROBIN. Questo formalmente bloccava la falla, ma in realtà lasciava una backdoor aperta, che poteva essere attivata conoscendo una frase segreta.