Il ransomware Locky rafforza la protezione

Il ransomware Locky è passato a una modalità sicura crittografata e ora protegge la comunicazione di rete tra le vittime e i server di comando e controllo con una crittografia a chiave pubblica.

Il ransomware Locky è entrato in scena a febbraio ed è balzato sulle prime pagine dei giornali per aver crittografato i file di ospedali e grandi organizzazioni costringendoli a un fermo forzato. Questo ransomware, distribuito principalmente via email, fa uso dell’ingegneria sociale per fare in modo che il suo programma di download venga aperto e attivato. A seconda delle dimensioni dell’azienda, il riscatto richiesto spazia da 200 a 15.000 EUR. Decrittografare i file senza la chiave degli sviluppatori di Locky è praticamente impossibile.

Questo cambiamento radicale garantisce ai creatori di questo ransomware una maggiore segretezza delle attività di Locky e un controllo ancora più stretto sulla loro infrastruttura di rete, limitando la possibilità dei ricercatori di spiare le attività della botnet.

Locky-decrypted-response

“L’aggiunta della crittografia a chiave pubblica della comunicazione di rete mette i bastoni tra le ruote a chi lavora per tracciare o addirittura influenzare le attività di Locky”, afferma Moritz Kroll, ricercatore di malware di Avira. “Ora per intrufolarsi nella rete è necessaria la chiave privata RSA (l’altro piatto della bilancia). E gli sviluppatori di Locky non hanno chiaramente nessuna intenzione di svelarla”.

Durante il processo di crittografia dei file, Locky ha sempre inviato a ogni sua vittima una chiave pubblica specifica. Ora per crittografare le chiavi per la comunicazione con i server di comando e controllo usa anche una chiave pubblica RSA, fornita con il campione. A seguito dei recenti sviluppi, Locky invia un BLOB binario con una stringa di connessione AES-CTR crittografata insieme a un blocco crittografato RSA con due chiavi e un hash HMAC-SHA1.

“La chiave RSA privata è necessaria per estrarre le chiavi di richiesta e risposta, le quali successivamente avviano un’ulteriore decrittografia del messaggio di richiesta e una verifica dell’hash. In mancanza della chiave RSA non è possibile né comprendere la richiesta, né creare una risposta che il trojan Locky possa decrittografare e comprendere”, spiega Kroll.

Questa modifica limita le informazioni che i ricercatori in ambito di sicurezza possono ottenere spiando le attività di Locky. Se in passato i ricercatori sono stati in grado di penetrare l’algoritmo di generazione dei domini (DGA) di Locky e fornire statistiche sulle infezioni e sulle attività,

Previously available information on Locky victims

con i recenti cambiamenti potranno ancora ottenere gli indirizzi IP delle vittime e individuare la loro posizione geografica, ma non saranno più in grado di raccogliere informazioni sui sistemi operativi infettati, sulle potenziali dimensioni della vittima e sul riscatto richiesto (IVA esclusa).

Partendo dal presupposto che i ladri non hanno alcun codice d’onore, la crittografia potrebbe essere una mossa preventiva per garantire ai creatori il controllo della loro impresa e del marchio Locky. Altri pirati informatici, infatti, hanno già provato a creare versioni “taroccate” come AutoLocky.

“Viene da chiedersi se nessun altro pirata informatico sia stato in grado di penetrare i server di comando e controllo di Locky per poi distribuire le loro chiavi pubbliche di crittografia con la loro richiesta di riscatto e se questo non sia un modo per fermarlo”, ha dichiarato Kroll. “Gli autori di Locky potrebbero arrabbiarsi. ‘Ma come? Noi facciamo il lavoro duro e qualcun altro ci ruba i soldi che abbiamo guadagnato con tanta fatica?'”

Questo articolo è disponibile anche in: IngleseTedescoFrancese

As a PR Consultant and journalist, Frink has covered IT security issues for a number of security software firms, as well as provided reviews and insight on the beer and automotive industries (but usually not at the same time). Otherwise, he’s known for making a great bowl of popcorn and extraordinary messes in a kitchen.