RegretLocker, il ransomware capace di crittografare i dischi virtuali di Windows: i dettagli - Cyber Security 360

L'ANALISI TECNICA

RegretLocker, il ransomware capace di crittografare i dischi virtuali di Windows: i dettagli

Si chiama RegretLocker il nuovo ransomware in grado di danneggiare i dischi virtuali sulle macchine Windows sfruttando funzioni proprietarie e legittime del sistema operativo stesso. Ecco tutti i dettagli e i consigli per mitigare il rischio di infezione

16 Nov 2020
L
Salvatore Lombardo

Funzionario informatico, Esperto ICT, Socio Clusit e autore


È stato scoperto di recente un nuovo ransomware chiamato RegretLocker che può danneggiare seriamente i dischi virtuali sulle macchine Windows.

Come noto, i drive virtuali sono dei dispositivi riconosciuti dai sistemi operativi attraverso l’uso di software emulatori che leggono delle immagini disco anziché dei veri e propri dischi fisici. L’uso di queste immagini può fornire dei vantaggi in termini di velocità, rumore, ingombro e consumo di risorse, in quanto permette all’utente:

  • il trasferimento di dati tra varie unità di memoria di massa, per esempio da un lettore DVD a un disco fisso utilizzando un solo dispositivo;
  • l’emulazione di un’intera macchina attraverso una virtualizzazione completa delle risorse.

RegretLocker: lo scenario di attacco

Gli ambienti virtuali, essendo unità disco racchiuse in singoli file di dimensioni notevoli, sono ritenuti concettualmente più sicuri perché non consentendo una compromissione in tempi brevi (per esempio da parte di un ransomware) permettono ai sistemi di protezione, concedendo più tempo, di rilevare un attacco bloccandolo eventualmente sul nascere.

Analizzato dal ricercatore Vitali Kremez, che ha pubblicato un post su Twitter al riguardo, il ransomware RegretLocker attraverso un astuto quanto semplice escamotage riesce, nel sistema operativo Windows, a utilizzare delle funzioni proprietarie e legittime per ridurre notevolmente i tempi di crittografia spesso molto lunghi richiesti per bloccare l’accesso ai dischi virtuali.

Anche Chloé Messdaghi, VP of Strategy at Point3 Security, ha descritto RegretLocker come un ransomware capace di superare il limite della velocità di esecuzione per la crittografia di file virtuali, essendo molto più veloce in esecuzione, grazie a questo stratagemma, rispetto agli altri ransomware concorrenti.

La caratteristica peculiare di RegretLocker

Spesso, l’implementazione dei ransomware esclude a priori qualsiasi tentativo di crittografare i dischi virtuali perché questi solitamente di dimensioni notevoli aumentano il tempo necessario per la crittografia, finendo con l’inficiare il fine ultimo del ransomware ovvero insidiarsi in una macchina, bloccarla in modo indisturbato e richiedere un riscatto.

Nello specifico gli sviluppatori di RegretLocker, ispirandosi probabilmente ad una ricerca recentemente pubblicata su GitHub dal ricercatore di sicurezza smelly__vx, sono riusciti ad accelerare il processo complessivo di crittografia dei dischi virtuali in ambienti Windows montandoli come dischi fisici attraverso le funzioni OpenVirtualDisk, AttachVirtualDisk e GetVirtualDiskPhysicalPath e procedendo così a crittografare più rapidamente i singoli file costituenti piuttosto che l’intera immagine disco di grandi dimensioni.

Inoltre, secondo delle modalità già riscontrate anche in altri ransomware tra cui Sodinokibi, Ryuk e Conti, RegretLocker è in grado di terminare programmi o servizi Windows attivi, che potrebbero ostacolare il processo di crittografia complessivo, manomettendo l’API di Windows Restart Manager.

I dettagli sulla nota di riscatto

Come accade di consueto per tutti i ransomware, anche i sistemi infettati da RegretLocker dopo l’avvenuta crittografia dei dati (a tutti i file interessati viene aggiunta l’estensione “.mouse”) riceveranno una richiesta di riscatto per la loro decrittazione. La nota, un breve messaggio essenziale intitolato “HOW TO RESTORE FILES.TXT”, si limita a invitare la vittima a contattare direttamente gli autori della minaccia tramite un indirizzo e-mail. Di seguito il testo del ricatto:

“Hello, friend.

WHITEPAPER
Stop alle minacce informatiche grazie alla Threat Intelligence avanzata. Scopri come nel white paper
Sicurezza
Cybersecurity

All your files were encrypted.

If you want to restore them, please email us : petro@ctemplar.com”

I consigli per mitigare il rischio di infezione

Come per tutte le famiglie ransomware, anche per RegretLocker è opportuno agire in modo proattivo.

Poiché solitamente l’infezione da ransomware avviene tramite posta indesiderata (si consiglia di non aprire e-mail sospette ed eventuali collegamenti o allegati relativi) e download eseguiti da fonti non ufficiali e non affidabili (è importante attivare e aggiornare programmi con strumenti e funzioni forniti da sviluppatori legittimi), per garantire l’integrità di server, workstation, dispositivi e la privacy degli utenti, risultano fondamentali alcuni accorgimenti preventivi e di mitigazione:

  1. aggiornare periodicamente sistemi e applicazioni;
  2. installare suite antivirus affidabili e mantenerli aggiornati per eseguire scansioni regolari del sistema e rimuovere potenziali minacce rilevate;
  3. limitare gli accessi remoti e/o proteggerli tramite autenticazione multifattore;
  4. disattivare gli account amministrativi impiegati di default, creandone altri ad hoc;
  5. separare e isolare i sistemi critici attraverso una segmentazione della rete;
  6. custodire adeguatamente le copie di sicurezza, adottando strategie di backup anche con soluzioni offline e cloud purché adeguatamente protette;
  7. sensibilizzare sulla consapevolezza della sicurezza e sulle condotte da seguire, verificandone l’attuazione con audit periodici.

Come rimuovere RegretLocker dal sistema infetto

Il processo di rimozione di RegretLocker può risultare difficile come quello di qualsiasi altro malware. Per questo motivo, è sempre consigliabile affidarsi a una rimozione automatica consentita dai programmi antivirus (esistono in rete tante soluzioni affidabili) oppure a personale esperto.

Tuttavia, è bene precisare che la rimozione non ripristinerà comunque i dati già compromessi. L’unica soluzione sempre possibile, dopo un’adeguata bonifica, è ripristinare i file da un backup precedente e adeguatamene conservato, qualora ne sia stato creato qualcuno prima dell’infezione.

Ovviamente, poiché spesso, nonostante il pagamento del riscatto, le vittime non ricevono gli strumenti di decrittazione promessi, è assolutamente sconsigliato prendere contatti e assecondare le richieste dei criminal hacker.

Per tutti questi motivi per evitare grosse perdite finanziarie e danni reputazionali oppure restare inermi di fronte al rischio di una tale evenienza, il detto popolare “Prevenire è meglio che curare!” risulta quanto mai calzare a pennello.

@RIPRODUZIONE RISERVATA

Articolo 1 di 5