Dopo mesi di silenzio, il ransomware Locky (ancora non risolvibile) torna sulle scene via massive campagne di spam distribuite tramite la botnet Necurs. Fortunatamente però, un difetto del ransomware impedisce di criptare i file sui sistemi operativi Windows più recenti: la criptazione avviene solo su Windows XP e Vista.
La nuova ondata
Il nuovo attacco è stato individuato da molti ricercatori di sicurezza. Il motivo per il quale la criptazione funziona solo su XP e Vista pare essere che gli autori di Locky hanno cercato di sostituire il codice di Jaff con quello di Locky, trascinandosi dietro però diversi errori.
Considerando però l'alto livello di investimento nella distribuzione del ransomware, viene da pensare che gli autori di Locky non si siano resi conto del bug.
Considerando però l'alto livello di investimento nella distribuzione del ransomware, viene da pensare che gli autori di Locky non si siano resi conto del bug.
Cisco Talos ha quantificato che la campagna di diffusione di questa versione di Locky ha pesato per il 7% sull'intero traffico di email di spam. Un investimento e un peso assolutamente insensato, se si tiene di conto che il ransomware può colpire meno del 10% del totale degli utenti Windows.
Il peso delle email di spam legate a Locky. Fonte: Cisco Talos |
La nuova versione di Locky
Sono talmente poche le differenze tra la versione di Locky individuata a Maggio e quella attualmente in distribuzione, che forse è esagerato parlare di "nuova versione". Quella attuale usa ancora l'estensione .lotpr alla fine dei file e la stessa struttura URL per il server C&C.
Le differenze sono riscontrabili nelle email di diffusione. Le email si spacciano ancora come vettori per ricevute di pagamento, fatture e conferme d'ordine, ma i testi sono stati modificati. Oltre a ciò è cambiata la struttura degli allegati: le email hanno allegato un archivio zip che contiene a sua volta un altro file zip. Il secondo archivio .zip contiene l'eseguibile di Locky.
Le differenze sono riscontrabili nelle email di diffusione. Le email si spacciano ancora come vettori per ricevute di pagamento, fatture e conferme d'ordine, ma i testi sono stati modificati. Oltre a ciò è cambiata la struttura degli allegati: le email hanno allegato un archivio zip che contiene a sua volta un altro file zip. Il secondo archivio .zip contiene l'eseguibile di Locky.
Mail di spam di Locky. Fonte: Cisco Talos |
Oltre a ciò, questa versione ha alcune protezione di anti-debugging, che impediscono l'esecuzione di ransomware in macchine virtuali e altri ambienti di debug: questa caratteristica di Locky ha comportato non poche difficoltà nelle prime ore di analisi.
Perchè Locky è tornato?
Ovviamente possiamo solo avere "sospetti", ma qualche indizio c'è. Il ransomware Jaff è stato appena risolto, grazie all'individuazione di una falla nel meccanismo di criptazione dei file. Al contrario per Locky non si è ancora trovata una soluzione. Già da tempo vari indizi (che ora non riprendiamo, ma che sono facilmente rintracciabili sui siti a riguardo) indicano che dietro la botnet Necurs e i ransomware Jaff e Locky ci sia lo stesso gruppo di cyber-criminali. Questo fa pensare che, risolto Jaff, il gruppo abbia optato per un ritorno a Locky perchè, dopo molto tempo, è ancora irrisolto. Qualora i bug sopra elencati venissero risolti, potremmo trovarci di fronte ad un grosso problema: una botnet molto estesa che diffonde in massive campagne di spam un ransomware particolarmente solido e tutt'ora irrisolto.
Nessun commento:
Posta un commento