Una variante del ransomware Locky elude alcune tipologie di difesa

È comparsa da qualche giorno, sulla scena del malware, una variante del famigerato ransomware Locky; essa viene distribuita attraverso una campagna e-mail nociva condotta su larga scala, che si è rivelata in grado di bypassare, in maniera inattesa, le difese implementate da alcune società.

A partire dal 9 agosto scorso, per tre giorni di fila, il ransomware denominato IKARUSdilapidated è furtivamente “atterrato” in decine di migliaia di caselle di posta in arrivo, per mezzo di un’e-mail che presenta un contenuto estremamente breve, o non ne presenta affatto, ma reca, tuttavia, un dropper in veste di allegato malevolo – secondo quanto riferisce il Threat Intelligence Lab allestito dalla società Comodo.

“L’allegato è un file archivio, denominato ‘E 2017-08-09 (580).vbs’, dove 580 rappresenta un numero (variabile) che cambia, in pratica, su ogni messaggio e-mail, e ‘vbs’ è un’estensione che, allo stesso modo, varia anch’essa,” ha inoltre precisato Comodo. “Gli oggetti delle e-mail risultano simili, come ad esempio “E 2017-08-09 (580).tiff”; qui l’estensione può essere rappresentata da un documento (doc), un file archivio (zip), un file .pdf o un file di immagine (jpg, tiff).”Se l’allegato viene eseguito, esso genera il download del ransomware IKARUSdilapidated. Il curioso nome della nuova “specie” di ransomware deriva da una stringa di testo individuata nel codice del file maligno scaricato dal dropper.

“Quando l’utente apre il documento allegato, quest’ultimo appare come se fosse pieno di “spazzatura”; il documento malevolo, però, contiene la frase ‘Attivare la macro se la codifica dei dati non è corretta’; si tratta di un’insidiosa tecnica di ingegneria sociale utilizzata nell’ambito di questa particolare tipologia di attacco phishing. Se l’utente provvede a fare quanto indicato, le macro salvano ed eseguono un file binario, che scarica il Trojan crittografico vero e proprio,” – hanno affermato i ricercatori all’opera presso Comodo, in base ad un’analisi preliminare da essi condotta.

“Essendo una nuova variante di malware, questa viene interpretata, di fatto, come un “file sconosciuto”, e riesce quindi a penetrare all’interno dei sistemi informatici di quelle società ed organizzazioni che non fanno uso di uno scenario di sicurezza di tipo ‘default-deny’ (‘nega predefinito’, il quale, in pratica, nega l’accesso a tutti i file sconosciuti, finché non viene opportunamente verificato che si tratta di file “buoni”, che possono pertanto entrare in tutta sicurezza all’interno dell’infrastruttura IT),” ha poi aggiunto Comodo.

I ricercatori affermano che il malware IKARUSdilapidated è una variante di Locky, poiché esso condivide con quest’ultimo molte caratteristiche specifiche, quali, ad esempio, i filename codificati, convertiti in una combinazione unica di lettere e numeri, formata da 16 caratteri – e aventi, come estensione, .locky.

Secondo quanto riporta il messaggio che accompagna il ransomware, i file vengono criptati mediante le “chiavi di cifratura RSA-2048 e AES-128.”

Locky è ben noto per la sua efficacia e la sua elevata “redditività”, per il fatto che esso può generare, per i malintenzionati, consistenti profitti illeciti. Secondo un recente studio condotto da Google, Chainalysis, la University of California di San Diego, e la NYU Tandon School of Engineering (Politecnico dell’Università di New York), nel corso degli ultimi due anni Locky ha estorto, complessivamente, più di 7,8 milioni di dollari $, ottenuti a seguito dei pagamenti effettuati dalle vittime.

Una volta avvenuta l’infezione viene mostrato, sul desktop della vittima, un minaccioso messaggio contenente precise istruzioni; si richiede, all’utente sottoposto ad attacco, di scaricare il browser Tor e di recarsi, poi, su un sito web adibito ad illustrare le procedure previste per il pagamento, allo scopo di costringere la vittima a sborsare, in qualità di riscatto, per poter ottenere la decodifica dei file, una somma che può variare tra 0,5 ed 1 bitcoin (dai 600 ai 1.200 dollari $).

L’analisi effettuata da Comodo su un campione di 62.000 e-mail inerenti alla campagna malware IKARUSdilapidated, ha rivelato un avversario alquanto sofisticato, che fa uso di 11.625 diversi indirizzi IP, dislocati in ben 133 paesi diversi, quali Vietnam, India, Messico, Turchia e Indonesia.

“Quando il team ha controllato chi fossero i proprietari della gamma di indirizzi IP interessati, abbiamo visto che si tratta, per la maggior parte, di società operanti nel settore delle telecomunicazioni e di Internet service provider (ISP). Questo ci dice che gli indirizzi IP appartengono a computer infetti, da poco compromessi,” hanno scritto i ricercatori nel report – ancora non pubblicato – da essi stilato in merito al nuovo ransomware.

I ricercatori affermano che le dimensioni, l’ampiezza del campo d’azione, e la qualità della botnet che si cela dietro alla campagna malware qui analizzata, suggeriscono, a tutti gli effetti, che ci troviamo di fronte ad un avversario particolarmente esperto ed abile. “Tutto questo evidenzia, inoltre, il crescente livello di sofisticatezza dei nuovi attacchi ransomware, peraltro sempre più estesi e ben organizzati; una simile situazione non può far altro che conferire un grado di credibilità ancora maggiore al costante appello rivolto agli utenti dagli esperti di sicurezza IT di tutto il mondo, affinché vengano messe in pratica tutte le raccomandazioni suggerite,” hanno infine sottolineato i ricercatori.

Nel corso degli ultimi sei mesi, Locky si è dimostrato estremamente attivo. Ricordiamo, a tal proposito, che nello scorso mese di aprile, esso aveva sfruttato la botnet Necurs per inviare massicce ondate di e-mail di phishing. Durante quella specifica campagna, individuata da Cisco Talos, i ricercatori avevano lanciato l’allarme riguardo al fatto che Locky stava prendendo in prestito tecniche malevole, particolarmente efficaci, dal malware Dridex, noto stealer di credenziali, divenuto davvero abile nell’eludere le attività di mitigazione compiute attraverso la sandbox.

Nello scorso mese di febbraio, poi, il Malware Protection Center di Microsoft aveva rilevato la conduzione di campagne e-mail nocive in cui si faceva uso di allegati con estensione .lnk per diffondere il ransomware Locky e il Trojan Kovter, specializzato nel click-fraud; si è trattato, nella circostanza, della prima volta in cui i cybercriminali hanno distribuito contemporaneamente entrambi i programmi malware.

Fonte: Threatpost

Post correlati

Leave a Reply

Your email address will not be published. Required fields are marked *