Identificate due nuove varianti del ransomware Locky

Il ransomware Locky è il più grande tipo di malware che minaccia i computer di tutto il mondo, colpendo privati e aziende. Questo malware è in circolazione da un po’ di tempo, e nuove varianti vengono regolarmente scoperte. Varie ricerche indicano che la minaccia Locky sta diventando sempre più grave con passare del tempo.

DUE NUOVE VARIANTI DI LOCKY DA CUI TUTTI DOVREBBERO DIFENDERSI

Anche se il ransomware Locky esiste in molte forme diverse, due nuove varianti sono state sviluppate, e richiedono immediata attenzione. Prima di tutto vi è la variante AESIR, che sembra essere la più grave minaccia. Come ci si aspetta, questa nuova versione cambia anche i nomi dei file crittografati con l’estensione “*.aesir”.

Ciò che è inquietante di questo nuovo ransomware è il fatto che contiene una serie di variabili che aprono backdoor nel PC per scaricare l’eseguibile Locky da uno qualsiasi dei suoi server disponibili. Il payload maligno è nascosto all’interno di uno script VBS, che appena scaricato nel computer i dati saranno rovinati rapidamente.

Aprire delle backdoor nel computer significa essere esposti anche a successive azioni di Doxing (il Doxing o doxxing è la raccolta di informazioni personali residenti sul personal computer che vengono prese con lo scopo di creare documenti, detti doxier, inviati online e per i quali poi viene richiesto un pagamento per evitarne la diffusione, mettendo così in atto un vera e propria estorsione).

Inoltre sono state rinvenute porzioni di codice attraverso le quali si è notato il tentativo di permettere al Ransomware di propagarsi in rete, agendo come un virus, tentando l’installazione anche sui computer non oggetto di infezione diretta.

Il messaggio di riscatto lasciato dal ransomware Aesir è molto simile a quella di Locky: le istruzioni per il recupero sono praticamente uguali a quelle che si trovano in Locky, il che conferma ulteriormente la correlazione tra i due ransomware. Le vittime sono ancora reindirizzate a una pagina web Tor-hosted per completare il pagamento Bitcoin e di ricevere la chiave di decrittazione.

La seconda nuova variante di Locky è chiamata ZZZZZ ed è molto simile alla variante AERIS. Tuttavia, ci sono due cambiamenti degni di nota. Prima di tutto, vi è la diversa estensione payload, e i payload decifrati utilizzano un’estensione differente. Per gli esperti di cyber sicurezza si tratta di informazioni preziose che possono aiutare a combattere queste minacce in una fase precoce.

Tutto il codice utilizzato nella variante ZZZZZ è quasi identico a Locky, incluse le istruzioni per il recupero dei files. Queste nuove varianti sono distribuite nello stesso modo del ransomware originale Locky. Oltre i cambiamenti di estensione payload minori, tutti i tipi di malware si comportano allo stesso modo. Ma questo è anche ciò che li rende così incredibilmente pericolosi.

E’ evidente che Locky ransomware rimane la più grande minaccia per la nostra società on-line, anche se è riconfigurato in varianti leggermente diverse. I criminali vogliono assicurarsi che il loro payload sfugga alle rilevazioni di antivirus e strumenti anti-malware, e queste piccole modifiche permettono loro di farlo. Inoltre, queste due nuove varianti suggeriscono l’utilizzo di un “toolkit” di payload per creare nuove forme di malware.

Leave a Reply

Questo sito usa Akismet per ridurre lo spam. Scopri come i tuoi dati vengono elaborati.