L'ANALISI TECNICA

WastedLocker, il ransomware nascosto in finti aggiornamenti software che chiede riscatti milionari

Creato dal gruppo criminale russo Evil Corp, il ransomware WastedLocker si diffonde mediante finti aggiornamenti software e prende di mira le grandi aziende colpendo file server, database, macchine virtuali e ambienti cloud, chiedendo poi un riscatto milionario per sbloccare i file. Ecco tutti i dettagli

24 Giu 2020
Paolo Tarsitano

Editor Cybersecurity360.it


Si chiama WastedLocker il nuovo ransomware aggiunto da poco all’arsenale del gruppo criminale russo Evil Corp (già famoso per aver dato vita alla botnet ZeuS e al ransomware BitPaymer) e usato in attacchi mirati verso le grandi imprese.

WastedLocker è apparso sulla scena del cyber crime lo scorso mese di maggio ed è stato scoperto dai ricercatori di sicurezza Fox-IT: nel loro rapporto si legge che, dopo l’incriminazione dei membri della Evil Corp, Igor Olegovich Turashev e Maksim Viktorovich Yakubets, il gruppo di hacker ha avviato una profonda ristrutturazione delle proprie tattiche di attacco che hanno portato al rilascio proprio della nuova variante di ransomware.

I dettagli tecnici del ransomware WastedLocker

L’analisi dei campioni del ransomware WastedLocker ha confermato anche la già nota selettività della Evil Corp nell’individuazione dell’infrastruttura da colpire. In particolare, il ransomware WastedLocker è stato progettato per colpire file server, servizi di database, macchine virtuali e ambienti cloud e quindi mira espressamente a compromettere strutture Enterprise.

Secondo i ricercatori, inoltre, la scelta del target da colpire sarà influenzata anche fortemente da quello che potremmo definire il “modello di business” del gruppo criminale. Ciò significa che WastedLocker potrebbe essere in grado di disabilitare o interrompere le applicazioni di backup e le relative infrastrutture.

Questo aumenta il tempo di ripristino dei sistemi della vittima o, in alcuni casi, a causa dell’indisponibilità di backup offline o fuori sede, impedisce del tutto la capacità di ripristino con danni economici e reputazionali molto elevati.

A differenza di altri recenti ransomware usati in attacchi mirati, inoltre, WastedLocker non è stato progettato per rubare o minacciare di pubblicare informazioni riservate delle sue vittime prima di criptare i file. Probabilmente perché questa attività di pubblicazione richiamerebbe l’attenzione delle forze dell’ordine e del grande pubblico sulle attività del gruppo criminale.

Metodo di distribuzione del ransomware WastedLocker

Per distribuire il ransomware WastedLocker, il gruppo criminale Evil Corp avrebbe da tempo avviato una campagna malevola volta a compromettere i siti Web per inserire script dannosi che, sfruttando il noto framework SocGholish, consentono di visualizzare nel browser delle vittime false notifiche di aggiornamento software.

Il framework usato per gestire gli aggiornamenti fasulli, inoltre, consente ai criminal hacker di valutare se il sistema della vittima fa parte di una rete più ampia: gli aggressori, infatti, non avrebbero alcun interesse a colpire un singolo utente finale e dunque interromperebbero immediatamente l’attacco.

Il bot JavaScript di SocGholish riesce inoltre ad accedere alle informazioni del sistema compromesso in quanto viene eseguito con i privilegi del browser della vittima. Queste stesse informazioni vengono quindi inviate al server che gestisce SocGholish che, a sua volta, restituisce un payload “confezionato” ad hoc per il sistema della vittima.

WHITEPAPER
Sicurezza: perchè puntare su un approccio zero trust?
Sicurezza
Sicurezza dei dati

I ricercatori Fox-IT sospettano anche l’utilizzo di altri metodi di distribuzione del ransomware WastedLocker, ma al momento non sono ancora riusciti a verificarlo.

La catena infettiva del ransomware

Una volta eseguito il payload, il ransomware WastedLocker sceglierà un file EXE o DLL casuale archiviato nella cartella C:/Windows/System32 e utilizzerà il nome di questo stesso file per crearne uno nuovo senza estensione all’interno della cartella %AppData%.

Allegato a questo file il ransomware crea anche un file eseguibile bin sfruttando la tecnologia Alternate Data Streams (ADS) di Windows già utilizzata anche da altri malware in quanto consente di rendere virtualmente invisibile il file per eludere i controlli degli antivirus e antimalware.

A questo punto, il ransomware WastedLocker inizierà a criptare tutte le unità del computer, saltando i file archiviati in cartelle specifiche o con determinate estensioni. Verranno inoltre esclusi i file con dimensione inferiore a 10 byte, mentre quelli di grandi dimensioni verranno criptati in blocchi da 64 MB.

In questa fase, WastedLocker rinominerà i file criptati usando la stringa wasted e le iniziali o una sigla dell’organizzazione colpita. Ad esempio, se quest’ultima dovesse chiamarsi Enterprise Corporation, i file criptati verrebbero rinominati usando l’estensione .ecwasted, dove “ec” rappresenta appunto le iniziali della vittima.

Per ogni file criptato, WastedLocker creerà quindi anche una nota di riscatto che termina con la desinenza _info. Riprendendo l’esempio della Enterprise Corporation, un eventuale file Progetto1.doc verrà crittografato e rinominato in Progetto1.doc.ecwasted e verrà creata la nota di riscatto Progetto1.jpg.acwasted_info.

E la nota di riscatto, purtroppo, riserva una brutta notizia per l’organizzazione colpita dal ransomware in quanto, per ottenere la chiave di sblocco dei file criptati sarà necessario sborsare cifre stratosferiche che variano da 500.000 dollari a diversi milioni di dollari.

E purtroppo, al momento, non c’è modo di decifrare i file gratuitamente.

@RIPRODUZIONE RISERVATA

Articolo 1 di 5