DMA Locker non porta più i pantaloni corti

Secondo Malwarebytes, nell’arco di cinque mesi, ovvero dal momento in cui è comparso sulla scena, DMA Locker si è profondamente trasformato; in effetti, da malware crittografico piuttosto rudimentale, quale era inizialmente, esso è divenuto uno strumento di estorsione decisamente “competitivo”. Come riferisce Softpedia, l’analisi condotta dagli esperti sulla quarta versione del malware Windows, apparsa di recente, ha evidenziato che gli autori di tale ransomware hanno ormai introdotto il supporto per il server C&C, modernizzato la procedura di codifica dei file ed automatizzato la gestione dei pagamenti. DMA Locker, per di più, viene distribuito secondo una nuova modalità, ovvero attraverso l’utilizzo di un exploit pack (Neutrino).

In base alla sequenza cronologica rilevata da Malwarebytes, la comparsa del ransomware DMA Locker risale al mese di gennaio dell’anno corrente. Inizialmente, tale software estorsore veniva installato manualmente, tramite compromissione del desktop remoto; esso funzionava in maniera autonoma, e provvedeva a cifrare tutti i file per mezzo della stessa identica chiave AES, incorporata nel codice. Un simile schema consentiva, però, di poter creare il relativo decryptor piuttosto agevolmente; proprio per tale motivo, i virus writer rilasciavano, in tutta fretta, una nuova versione del malware. DMA Locker 2.0 utilizzava già due diversi algoritmi di cifratura, AES e RSA; in pratica, per ogni file veniva creata, localmente, una chiave a 256 bit, la quale, una volta utilizzata, veniva cifrata attraverso una RSA pubblica, presente nel codice stesso, per essere poi custodita, sotto tale forma, all’interno del file codificato.

La pratica dimostrava, ben presto, che il generatore di numeri casuali implementato in DMA Locker era eccessivamente debole; così, alla fine di febbraio, compariva la versione 3.0 del malware, “debitamente” corretta. Le vittime del tentativo di estorsione, tuttavia, conservavano ancora intatta la possibilità di ottenere gratuitamente la decodifica dei file: la chiave RSA privata, in effetti, risultava essere la stessa nell’ambito dell’intera campagna ransomware: in sostanza, tale chiave poteva essere “acquistata” una sola volta, ed essere poi utilizzata a più riprese.

La quarta versione di DMA Locker, la più recente, è stata individuata il 19 maggio scorso; essa ha fatto la sua apparizione dopo un intervallo di tempo piuttosto prolungato, ed ha presentato subito numerosi e significativi miglioramenti rispetto alla release precedente. Il più radicale, tra di essi, è indubbiamente rappresentato dal passaggio al modello server. Il ransomware in causa, in effetti, non codifica più i file offline; per far ciò esso ha bisogno di comunicare con il proprio C&C; in assenza di tale connessione, il malware attende il momento in cui l’utente si collega ad Internet. Gli autori di DMA Locker si sono inoltre preoccupati, per la prima volta, di proteggere la propria “creatura” nei confronti del possibile rilevamento; per raggiungere tale scopo, i malintenzionati si sono così avvalsi di un cryptor pronto all’uso, ed hanno dotato il file eseguibile di un’icona PDF fasulla.

Il malware, così come in precedenza, codifica i file presenti sulle unità disco locali e sulle unità di rete (anche se non risultano connesse); esso ricorre all’utilizzo di un’apposita blacklist, anziché di un elenco di estensioni target. Per ogni file, DMA Locker genera una chiave univoca a 256 bit, attraverso le Crypto API di Windows; tale novità, a dire il vero, era già apparsa con la release della versione 3.0. Adesso, tuttavia, le chiavi RSA vengono create direttamente nel server C&C, e pare proprio che non siano riutilizzate; attraverso la chiave pubblica il blocker provvede poi a criptare la chiave AES. La chiave privata, necessaria per l’operazione di decodifica, viene infine scaricata una volta effettuato, da parte dell’utente-vittima, il pagamento del riscatto. Dopo aver “elaborato” il contenuto del file, DMA Locker 4.0, come in precedenza, fornisce un prefisso al target preso di mira, utilizzando il proprio nome ed il numero della versione.

Sul server viene ugualmente creato l’ID della vittima, che DMA Locker ottiene assieme alla chiave pubblica RSA, e custodisce poi sulla macchina infetta. Tutte le comunicazioni intrattenute dal malware con il server C&C non vengono criptate; per tale motivo, i ricercatori sono riusciti ad acquisire preziose informazioni riguardo al protocollo utilizzato in tale circostanza. In particolare, il server, dietro apposita richiesta, restituisce tutte le informazioni necessarie per poter mostrare alla vittima, in ogni singolo caso, le condizioni previste per il pagamento del riscatto: l’entità di quest’ultimo (a partire da 1 bitcoin); i termini di pagamento dello stesso, incluso la scadenza ultima, dopo la quale la chiave privata verrà distrutta; le maggiorazioni previste, a livello di importo “dovuto” ai malfattori, man mano che trascorrono i giorni, etc.

Un ulteriore tratto distintivo di DMA Locker 4.0 è costituito dall’esistenza di un sito web “dedicato” agli utenti sottoposti a ricatto. In precedenza, tutte le comunicazioni con gli estorsori venivano effettuate tramite posta elettronica. Adesso, la vittima riceve informazioni dettagliate direttamente sul sito in questione, che, per il momento, si presenta in una veste molto semplice; ad ogni caso, esso consente già di poter automatizzare le procedure relative alla gestione dei pagamenti. È tra l’altro prevista l’opzione relativa ad una decodifica di prova (1 file, in forma gratuita); secondo Malwarebytes, tuttavia, tale funzionalità deve essere ancora sottoposta a debug: i file vengono regolarmente ricevuti, ma non viene fornito alcun risultato.

È di particolare interesse rilevare come il nuovo sito sia stato collocato direttamente in Internet, e non negli oscuri meandri della rete anonima; i cybercriminali, per di più, hanno utilizzato lo stesso indirizzo IP preposto ad ospitare il server C&C. Questo significa, in pratica, che in un colpo solo può essere identificata e bloccata l’intera struttura malevola. Per il momento, i malintenzionati hanno deciso di mantenere la comunicazione tramite e-mail come opzione di riserva.

La rapida evoluzione di DMA Locker, ed i cambiamenti ad esso apportati a livello qualitativo – per ora privi di particolari elementi di novità, ma di sicuro significativi – testimoniano, in maniera inequivocabile, le “serie” intenzioni degli autori di tale ransomware. “Le recenti modifiche evidenziano come si stia di fatto preparando, per questo prodotto, una massiccia campagna di distribuzione, – affermano gli esperti. – Alcuni degli elementi chiave sono stati automatizzati. Lo schema di diffusione, adesso, si basa sull’utilizzo di un noto exploit pack; questo, ovviamente, amplia in maniera considerevole il numero dei possibili bersagli. L’acquisto della chiave e la gestione dei pagamenti vengono realizzati attraverso un apposito pannello, e non manualmente, come invece avveniva in precedenza”.

Non esistono, al momento attuale, metodi per poter decifrare gratuitamente i file compromessi da DMA Locker 4.0.

Fonte: Softpedia

Post correlati

Lascia un commento

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *