Morto un ransomware se ne fa un altro: arriva Magniber, il successore di Cerber.

Magniber è un nuovo ransomware che viene distribuito attraverso l’exploit kit Magnitude: secondo Bleeping Computer Magniber è il successore di Cerber. Se, infatti, alcuni aspetti di Magniber sono differenti da Cerber, il sistema di pagamento e la modalità di criptazione sono molto simili.

Il malware è stato individuato da Michael Gillespie su segnalazione di un utente colpito: pochi giorni dopo altri ricercatori scoprivano che l’exploit kit Magnitude, che è stato fino ad ora il distributore di Cerber, aveva cominciato a distribuire un nuovo ransomware (al tempo colpiva specificatamente utenti Sud Coreani).

E’ dalla fusione di Magnitude con Cerber che nasce Magniber. Secondo Bleeping Computer vi sono buone possibilità perché il ransomware sia risolvibile: ad oggi, ovviamente, non lo è ancora.
Come si diffonde?

Magniber viene distribuito attraverso insistenti malvertisement via exploit kit Magnitude: anzi una versione per ora limitata (forse di test) destinata ad utenti sud coreani. Gli annunci sono visualizzati in siti web caduti sotto il controllo degli attaccanti: chi li visualizza subirà l’attacco dell’exploit kit che sfrutta, per ora, le vulnerabilità di Internet Explorer per installare il ransomware Magniber.

L’exploit kit Magnitude installa Magniber
Il successore di Cerber?
Cerber pare essere scomparso da almeno metà Settembre: sono state individuate solo campagne ridotte e secondarie di distribuzione. Oltre a ciò, Magnitude era il mezzo di distribuzione di Cerber: all’improvviso però questo exploit kit ha sostituito Cerber, mettendo in distribuzione Magniber. Ancora: il sito per il pagamento del riscatto di Magniber è lo stesso di Cerber, il che fa pensare che, semplicemente, il sistema di pagamento sia stato spostato da Cerber a Magniber.
Confronto tra i due siti di pagamento: fonte Bleeping Computer
Una caratteristica peculiare di Magniber è la modalità con la quale l’utente accede al sito di pagamento su Tor. Di solito un ransomware crea un ID unico che identifica la vittima. Questo ID viene aggiunto alla nota di riscatto e la vittima deve usarlo per accedere alla propria pagina di pagamento e quindi per ottenere il decryptor.
Magniber funziona in maniera leggermente differente: invece di prevedere un login per la vittima in base all’ID, usa l’ID come sottodominio del sito TOR. 
AD esempio, una nota di riscatto può contenere il sito di pagamento oc77jrv0xm9o7fw55ea.ofotqrmsrdc6c3rz.onion, dove oc77jrv0xm9o7fw55ea
è l’ID della vittima.
Come cripta i file?
Al primo avvio, Magniber verifica la lingua in usata quando Windows è stato installato. Per adesso, se non è coreano, il processo termina e file non verranno criptati. Se invece la lingua individuata è il coreano, il ransomware genera l’ID della vittima che verrà usato nella nota di riscatto e quando si accede al sito TOR di pagamento.
Il ransomware inizia quindi il processo di criptazione dei file: cerca e cripta solo alcuni tipi di estensioni, in ogni caso oltre un centinaio di diverse tipologie di file. Cripta i file senza modificarne il nome, ma aggiungendovi due diverse estensioni:  .ihsdj oppure .kgpvwnr.
Quando il ransomware esegue la scansione in cerca di file bersaglio da criptare, salta i file il cui percorso contiene le seguenti stringhe:
La nota di riscatto
Al termine del processo di criptazione, Magniber crea una nota di riscatto rinominata READ_ME_FOR_DECRYPT_[id].txt in ogni cartella nella quale sono stati criptati dei file.
La nota contiene spiegazioni riguardo a ciò che è accaduto ai file e le istruzioni di pagamento: mostra anche, come detto prima, il sottodominio TOR contenente l’ID unico della vittima.
Indicatori di compromissione
%Temp%\[extension].exe
%Temp%\[victim_id].[extension]
READ_ME_FOR_DECRYPT_[victim_id]_.txt
Comunicazioni di rete
ofotqrmsrdc6c3rz.onion [Payment Site]
[victim_id].bankme.date [C2]
[victim_id].jobsnot.services [C2]
[victim_id].carefit.agency [C2]
[victim_id].hotdisk.world [C2]