AXLocker è una nuova tipologia di ransomware che, oltre a crittografare i file con i quali riesce ad entrare in contatto, va alla ricerca dei token di accesso di Discord, eventualmente presenti sulla macchina della vittima.
L’obiettivo è quello di portare a termine un attacco di account takeover (ATO) ai danni della nota piattaforma di VoIP, messaggistica istantanea e distribuzione digitale progettata per la comunicazione tra comunità di videogiocatori.
Discord, violate le principali disposizioni GDPR: dalla CNIL super multa da 800mila euro
Indice degli argomenti
Account Discord in pericolo con il ransomware
L’attacco ransomware è sempre una pessima esperienza, qualsiasi risultato abbia sul dispositivo della vittima colpito. Conoscere i dettagli, però, e i rischi che si corrono imbattendosi in un attacco di questa tipologia, può solamente essere d’aiuto per riconoscere ed evitare di cadere nella trappola criminale (a partire dall’ipotetica email di phishing).
Questo il risultato dell’ultima ricerca di Cyble che, appunto, fa luce sul nuovo attacco informatico di tipo ransomware denominato AXLocker, con punte di novità rispetto ai classici software malevoli già noti nello scenario cyber.
La prima variante che caratterizza questo attacco è il target di destinazione. Il ransomware generalmente prende di mira medie e grandi imprese, con fatturati di una certa rilevanza, eventualmente in grado di pagare ingenti riscatti. In questo caso, il ransomware AXLocker funziona in modo abbastanza tipico ma prendendo di mira i singoli privati, sfruttando determinate estensioni di file con crittografia AES, prima di estorcere la vittima.
Inoltre, prima della crittografia, ruba i token Discord utilizzati dalla piattaforma per autenticare gli utenti quando inseriscono le proprie credenziali per accedere a un account.
Ciò consente agli attori delle minacce di dirottare questi account per frodi successive e propagazione di malware, mediante la catena della fiducia che un account può infondere in terze persone, suoi contatti. La piattaforma di messaggistica è particolarmente popolare tra le comunità di giochi e criptovalute, ma è anche un focolaio di attività dannose, come riporta Discord stesso.
Dopo aver inviato i token Discord rubati a un server esterno (comando e controllo C2) e aver crittografato i file della vittima, AXLocker mostrerà una finestra popup contenente la richiesta di riscatto, con un timer che scorre fino a quando la chiave di decrittazione non verrà eliminata in caso di mancato pagamento del riscatto.
“Discord è ampiamente utilizzato dalle comunità di criptovaluta e NFT e quindi attira gli attori delle minacce con i loro ultimi exploit da testare”, dice Jake Moore Global Cybersecurity Advisor e Spokesperson presso ESET, sulla vicenda. “Fortunatamente”, continua Moore, “queste comunità sono generalmente più esperte in tali tentativi, ma dovrebbero comunque occuparsi dei loro account e guardare su cosa stanno facendo clic”.
Il nuovo ransomware Octocrypt
Nella stessa ricerca gli specialisti di Cyble, hanno evidenziato altre due varianti di ransomware, la prima di queste è stata denominata Octocrypt.
Octocrypt è un ransomware-as-a-service (RaaS) che si rivolge a tutte le versioni di Windows. Una piattaforma commerciale a pagamento che crea uno stabile reddito criminale dalla vendita del servizio di noleggio del nuovo malware da parte di altre gang criminali.
Scoperto intorno all’ottobre 2022, è disponibile sui forum sui crimini informatici per soli 400 dollari. La variante sembra essere stata progettata per la facilità d’uso.
“L’interfaccia del generatore di pannelli Web Octocrypt consente agli attori delle minacce di generare eseguibili binari ransomware inserendo opzioni come URL API, indirizzo crittografico, importo crittografico e indirizzo e-mail di contatto”, ha spiegato Cyble.
“Gli attori delle minacce possono scaricare il file del payload generato facendo clic sull’URL fornito nel pannello Web sotto i dettagli del payload”, si legge nella ricerca.
Il ransomware trasforma anche Alice, nella terra del malware
Questo il nome dell’ultima variante ransomware analizzata da Cyble, “Alice nella terra del malware”, appunto. Anche in questo caso c’è tutto il materiale per mettere in piedi un’organizzazione criminale di ransomware-as-a-service, di modo da produrre poi reddito dalla vendita del ransomware sub appaltato a gruppi terzi.
Il generatore viene venduto online, tra i forum underground a tema “criminalità informatica”, per 600 dollari e consente di generare file binari ransomware con una richiesta di riscatto personalizzata.
Questo l’aspetto grafico del sito e delle campagne criminali organizzate da Alice ransomware, così come viene presentato dal threat actor sul forum. Al momento, tuttavia, rimane non disponibile la presenza di questo malware nello scenario sottoposto a segnalazioni. Questo il motivo per il quale di Alice ransomware non vi sono ancora indicatori di compromissione noti.
“Le aziende devono stare al passo con le tecniche utilizzate dagli attori delle minacce e implementare le best practice di sicurezza e i controlli di sicurezza richiesti, altrimenti diventeranno vittime di ransomware sempre più sofisticati e aggressivi”, indica Cyble tra le note di mitigazione del rischio offerto dagli attacchi ransomware.
“Anche il backup offline è fondamentale, ma poiché tenta anche di rubare le credenziali di accesso, è estremamente importante prestare attenzione a tali opportunità che si presentano sulla piattaforma poiché molti utenti potrebbero valutare il proprio account Discord più del dispositivo che stanno utilizzando”, conclude Moore.
