È stato ribattezzato LockTheSystem il ransomware veicolato in questi giorni in Italia attraverso una campagna malspam con messaggi di posta elettronica scritti in italiano quasi perfetto che fanno riferimento alla mancata consegna di un pacco.
Il nome LockTheSystem è stato attribuito al malware dal CERT-AgID che ha individuato la stringa nel sample del ransomware isolato dai ricercatori di D3lab: al momento, infatti, non vi è ancora alcuna evidenza della eventuale famiglia di appartenenza, anche se alcune tracce lasciano pensare che possa trattarsi di una variante del ransomware PROM o di Thanos.
Fonte: CERT-AgID.
Indice degli argomenti
Tutti i dettagli del ransomware LockTheSystem
L’e-mail che sta distribuendo il ransomware LockTheSystem in Italia presenta in allegato un archivio compresso in formato RAR al cui interno è presente uno script JS con funzione di dropper il cui scopo è esclusivamente quello di scaricare un file eseguibile da un server remoto.
Questo file è, in realtà, un eseguibile autoscompattante in formato PE scritto in linguaggio .NET che, una volta eseguito, avvia la decodifica di una lunga lista stringhe che vengono successivamente caricate nella memoria del sistema target.
Quindi, provvede a terminare tutta una serie di processi attivi e in esecuzione sulla macchina compromessa:
- lsass.exe
- svchst.exe
- crcss.exe
- chrome32.exe
- firefox.exe
- calc.exe
- mysqld.exe
- dllhst.exe
- opera32.exe
- memop.exe
- spoolcv.exe
- ctfmom.exe
- SkypeApp.ex
e a lanciare alcuni servizi di rete mediante il comando net.exe:
- start Dnscache /y
- start FDResPub /y
- start SSDPSRV /y
- start upnphost /y
Successivamente, come indicato dagli analisti del CERT-AgID, il ransomware LockTheSystem esegue nell’ordine i comandi net.exe, sc.exe e taskkill.exe per terminare alcuni servizi di sistema, disabilitare o ripristinare servizi alla configurazione di default e terminare tutta una serie di processi.
LockTheSystem provvede, quindi, a compilare una lista delle estensioni di file di immagine disco o di backup eventualmente presenti sul sistema target.
Infine, esegue il comando PowerShell:
Get-WmiObject Win32_Shadowcopy | ForEach-Object { $_Delete(); }
per cancellare tutte le copie shadow di Windows e impedire così alla vittima di ripristinare i propri file.
LockTheSystem verifica, quindi, che sul sistema target non sia in esecuzione un’altra istanza con lo stesso nome: in caso contrario, esegue il comando Process.GetCurrentProcess().Kill() per interrompere il suo processo di esecuzione.
Nel caso in cui dovesse proseguire nella sua catena infettiva, il ransomware LockTheSystem crea un nuovo thread in background e una copia di sé stesso all’interno della cartella /AppData/Roaming/Microsoft/Windows/Start Menu/Programs/Startup/.
Dopodiché, inizia a censire tutti i file archiviati nell’hard disk dell’inconsapevole vittima.
I file della vittima vengono cifrati
Gli analisti del CERT-AgID hanno quindi scoperto che, prima di procedere con la cifratura dei file, il ransomware LockTheSystem verifica se tra i processi in esecuzione figurano sia quelli associati a strumenti di debug tipicamente utilizzati per l’analisi dei malware, tra cui ollydbg, dnspy, de4dot, ilspy e dotpeek, sia quelli associati a sniffer di rete come NetworkMiner, NetworkTrafficView e HTTPNetworkSniffer.
Un escamotage per cercare di passare inosservato ai sistemi di controllo.
A questo punto, LockTheSystem inizia ad analizzare l’hard disk e le unità collegate al sistema sotto attacco alla ricerca dei file che hanno l’estensione compresa tra le 100 che saranno oggetto della cifratura che avverrà utilizzando l’algoritmo AES-256-CBC.
Completata la cifratura, ogni file avrà estensione .y9sx7x e verrà mostrata sul desktop la nota di riscatto che in questo caso prevede di contattare l’autore tramite Telegram all’account @Lockthesystem.
Come difendersi dal ransomware LockTheSystem
Il CERT-AgID ha già reso pubblici tutti gli IoC della minaccia che è possibile integrare nei propri sistemi di controllo in modo da identificarla e bloccarla.
Valgono poi le regole di sicurezza per difendersi dagli attacchi ransomware:
- aggiornare periodicamente sistemi e applicazioni per correggere eventuali vulnerabilità che potrebbero essere sfruttate dal ransomware per infettare il sistema target e diffondersi nella rete;
- effettuare periodicamente un backup dei dati e custodire adeguatamente le copie di sicurezza in posizione sicura, adottando eventualmente soluzioni offline o cloud based;
- prestare sempre la massima cautela quando si ricevono e-mail di provenienza sospetta o da mittenti sconosciuti;
- evitare di aprire gli allegati di posta elettronica, soprattutto se sono in formato eseguibile. Se si tratta, invece, di documenti Office all’apparenza legittimi, evitare di abilitare l’esecuzione delle macro.
Ricordiamo, infine, che il fattore umano rappresenta indubbiamente l’anello debole nella catena difensiva di un’organizzazione e questa affermazione è ancora più vera quando ci si trova di fronte ad attacchi ransomware. Occorre dunque infondere nella cultura aziendale la consapevolezza della sicurezza e delle buone regole di condotta, verificandone l’attuazione con audit periodici.
