Locky ransomware autopilot

Il ransomware Locky mette il pilota automatico

Le configurazioni più recenti del ransomware Locky dispongono di una funzionalità di automazione migliorata, che elimina completamente la comunicazione di rete e consente di crittografare i file delle vittime senza indicazioni da parte dei centri di comando e controllo.

“Con questo sviluppo, gli hacker non devono più giocare al gatto e al topo, impostando continuamente nuovi server prima che vengano bloccati o disattivati”, ha detto Moritz Kroll, esperto di malware presso l’Avira Protection Lab.

Le modifiche consentono agli sviluppatori del malware Locky di operare in modalità nascosta, per non essere individuati dagli esperti di sicurezza e ridurre i costi di supporto dell’infrastruttura.  In precedenza, la configurazione di Locky conteneva alcuni URL di comando e controllo (CnC), nonché un parametro per un algoritmo di generazione di domini (DGA) per la creazione di ulteriori URL di comando e controllo.

Locky ransomware autopilot

“Si tratta del perfezionamento della modalità di infezione offline da parte degli hacker. Riducendo al minimo le attività online del codice, eliminano le spese necessarie per il mantenimento di numerosi server e domini”, ha affermato Moritz Kroll, esperto di malware presso l’Avira Protection Lab.  “Tuttavia, non ricevono nemmeno più statistiche “positive” sulle infezioni relative al loro lavoro”.

Gli algoritmi di generazione di domini sono normalmente formule dipendenti dal tempo e vengono utilizzati per creare un grande numero di nomi di domini, che i malware possono collegare ai centri di comando e controllo. Tale attività, sebbene possa produrre informazioni sbagliate, genera anche una grande quantità di attività di rete presso i domini DGA che sono stati bloccati da sinkhole dagli esperti di sicurezza.

“Sebbene i DGA possano essere usati per creare un grande numero di nomi di domini, Locky ha usato solo 12 domini ogni due giorni”, ha spiegato Kroll.  “Le modifiche consistono nell’ottimizzare i costi e lasciare un numero ridotto di tracce che potrebbero essere seguite dalle forze dell’ordine”.

Per il pagamento, la configurazione contiene ancora URL che indirizzano al servizio nascosto degli autori di malware nella rete TOR. “Sebbene gli hacker debbano ancora pagare per spam e distribuzione mediante exploit kit, hanno comunque semplificato le proprie esigenze tecnologiche”.

La configurazione più recente continua la strategia degli autori del malware, che consiste nell’utilizzo di una chiave pubblica per tutte le “vittime offline” dello stesso campione del ransomware, unitamente a uno speciale codice ID, invece di generare una chiave pubblica per utente.

Campione di riferimento: https://www.virustotal.com/en/file/608448984cf46274241009f7697b34b4e8a4cea8e9b712c1e4ea65a08d6e706a/analysis/

Questo articolo è disponibile anche in: IngleseTedescoFrancese

As a PR Consultant and journalist, Frink has covered IT security issues for a number of security software firms, as well as provided reviews and insight on the beer and automotive industries (but usually not at the same time). Otherwise, he’s known for making a great bowl of popcorn and extraordinary messes in a kitchen.