Locky ransomware takes the wheel again

Locky riprende il comando

Locky ha fatto un passo indietro e non viene più eseguito solo in modalità offline: gli affiliati di Locky infatti tornano ad includere le informazioni di comando e controllo (CnC) nelle loro configurazioni, determinando di conseguenza un netto calo nel numero di affiliati che utilizzano solamente la modalità offline.

“Forse non ha funzionato bene come si aspettavano, oppure erano semplicemente troppo curiosi di conoscere il numero delle infezioni provocate”, ha affermato Moritz Kroll, esperto di malware presso l’Avira Protection Lab.

La diffusione di una configurazione di Locky che non richiede una connessione CnC è un’arma a doppio taglio per i criminali informatici. Da un lato, non fornendo informazioni di tipo CnC, né indirizzo IP, la rete di Locky può rimanere nell’ombra, nascosta agli occhi delle forze dell’ordine e degli esperti di sicurezza. D’altra parte, ciò riduce il feedback che i criminali informatici possono raccogliere sull’efficacia delle singole campagne di distribuzione di Locky, lanciate dai propri affiliati.

“A partire dal 16 settembre, l’affiliato 13 è stato il primo a includere nuovamente le informazioni di tipo CnC nella configurazione, mentre gli affiliati 1 e 3 utilizzavano ancora la modalità esclusivamente offline. Successivamente, il 19 settembre, gli affiliati 1 e 5 hanno anch’essi riniziato ad inserire le informazioni CnC. Al momento, sembra che solo gli affiliati 3 e 21 stiano ancora seguendo il nuovo paradigma automatizzato”, ha spiegato Kroll.

Quando Locky attiva la modalità automatica, gli elementi di comunicazione di rete vengono disattivati, consentendo al ransomware di crittografare i file della vittima senza indicazioni da parte dei centri di comando e controllo e di nascondersi più efficacemente dagli esperti in sicurezza.


ARTICOLO CORRELATO

https://blog.avira.com/it/locky-pilota-automatico/


Le reti affiliate sono determinanti per la crescita del “Ransomware As A Service (RAAS)”, in quanto gli affiliati vengono pagati quando le vittime versano il riscatto richiesto. Sebbene le reti siano spesso personalizzate per un segmento o prodotto specifico, è valido lo stesso principio di base: “Se si forniscono traffico/installazioni, si ottiene denaro in cambio, sia che si tratti di ransomware, PUA o adware”, ha aggiunto. “Gli affiliati sono identificati da un ID esclusivo, così è chiaro a chi spetta il compenso”.

Questo articolo è disponibile anche in: IngleseTedescoFrancese

As a PR Consultant and journalist, Frink has covered IT security issues for a number of security software firms, as well as provided reviews and insight on the beer and automotive industries (but usually not at the same time). Otherwise, he’s known for making a great bowl of popcorn and extraordinary messes in a kitchen.