I creatori di Dridex sviluppano il ransomware "WastedLocker"

24 Giugno 2020 - Tempo di lettura: 8 minuti

L'hacker dietro il Dridex Trojan ha rilasciato un nuovo ransomware dopo mesi di sviluppo, rivelano i ricercatori Fox-IT (parte del gruppo NCC).

Conosciuto come Evil Corp, l'hacker è noto soprattutto per gli attacchi che coinvolgono il Trojan bancario Dridex e il ransomware Locky, ma ha utilizzato anche altri malware, tra cui famiglie di ransomware come Bart, Jaff e BitPaymer.

Soprannominato WastedLocker, il nuovo nato è in uso dal maggio 2020 e mostra alcune somiglianze con BitPaymer, come l'uso di un'abbreviazione del nome della vittima durante la creazione di nomi di file o la presenza del nome della vittima nella nota di riscatto.

Il gruppo sembra selezionare attentamente le vittime prima di distribuire il ransomware e preferire colpire file server, servizi di database, macchine virtuali e ambienti cloud. Non si impegnano nel furto di informazioni, molto probabilmente perché vogliono evitare di attirare l'attenzione.

Per la distribuzione, gli hacker utilizzano il framework di aggiornamento falso SocGholish, che fornisce direttamente un payloader Cobalt Strike personalizzato ai sistemi di destinazione.

Sull'host infetto, WastedLocker esegue prima una serie di operazioni per garantire che funzioni correttamente e solo allora procede alla crittografia dei file. Se non eseguito con diritti amministrativi, il ransomware tenta di elevare i privilegi.

WastedLocker è stato osservato utilizzando un metodo di bypass UAC (User Account Control) noto che prevede la derisione di directory attendibili e l'uso di un flusso di dati alternativo (ADS) per caricarsi in processi apparentemente legittimi.

Il ransomware può eliminare copie shadow per impedire il recupero dei dati e può crittografare i file solo in directory specifiche o tutti i file su un'unità. Il malware è destinato a unità rimovibili, fisse, condivise e remote per la crittografia.

“Invece di includere un elenco di destinazioni estensione, WastedLocker include un elenco di directory ed estensioni da escludere dal processo di crittografia. Anche i file con una dimensione inferiore a 10 byte vengono ignorati e, nel caso di un file di grandi dimensioni, il ransomware li crittografa in blocchi di 64 MB ", spiegano i ricercatori.

L'algoritmo AES con una chiave AES appena generata e IV (256 bit in modalità CBC) viene utilizzato per la crittografia di ciascun file. La chiave AES e IV sono crittografate con una chiave RSA pubblica incorporata (4096 bit) e l'output viene convertito in base64 e quindi memorizzato nella nota di riscatto. Viene creato un file aggiuntivo contenente la nota di riscatto per ciascun file crittografato.

Una volta completato il processo di crittografia, il ransomware aggiorna un file di registro con informazioni sul numero di file di destinazione, il numero di file crittografati e il numero di file non crittografati a causa di problemi relativi ai diritti di accesso. È stato osservato un decriptatore per WastedLocker che richiede i privilegi di amministratore e riporta il numero di file decriptografati correttamente.