Doppia chiave crittografica: ecco il ransomware Odin

Ott 11, 2016 Marco Schiaffino Malware, Minacce, News, Ransomware 0

Derivato da Locky, il malware utilizza un doppio sistema di crittografia dei file e tecniche di offuscamento per aggirare l’antivirus.

Sempre più diffusi, sempre più complessi. I ransomware sono esplosi come fenomeno nel 2016 e continuano a evolversi per aggirare antivirus e contromisure.

L’ultimo arrivato si chiama Odin ed è una variante derivata dal famigerato Locky che utilizza una serie di tecniche piuttosto peculiari, a partire dal metodo di distribuzione.

Il ransomware, fino a oggi, è stato individuato dai ricercatori di Sophos solo come allegato a messaggi di posta elettronica che sembrano fare riferimento a un qualche tipo di ordine. AI messaggi è allegato un file ZIP il cui nome contiene la dicitura “order_details” seguito da un riferimento all’email del destinatario.

All’interno dell’archivio ci sono due file: uno è posticcio e composto da codice casuale al solo scopo di confondere la potenziale vittima. Il secondo è invece un JavaScript, il cui nome contiene il termine “cancellation_form” (modulo di cancellazione) anche in questo caso seguito da un riferimento all’email del destinatario.

Lo schema della trappola è piuttosto chiaro: la vittima si vede recapitare la conferma di un ordine che non ha mai fatto e di cui non sa nulla. Prova ad aprire l’ordine ma il file posticcio non funziona. Di fronte si trova però un altro file che sembra poter risolvere i suoi problemi.

Con le impostazioni predefinite di Windows l’estensione non viene visualizzata e l’icona associata ai file JS, può far pensare a un utente inesperto che si tratti di un file di testo. Ed ecco che la sventurata vittima è portata a fare il fatidico doppio clic.

L’icona collegata ai file JS è poco conosciuta e può anche far pensare a un file di testo.

A questo punto il JavaScript, il cui contenuto è offuscato, si avvia e genera un secondo JavaScript che scarica da Internet una DLL, a sua volta protetta da un sistema di offuscamento. Questa viene poi decodificata e caricata utilizzando l’elemento di Windows rundll32.exe.

La DLL avvia l’attività del ransomware, che comincia immediatamente a crittografare i file presenti sul computer. Anche il sistema usato per la crittografia, però, è piuttosto particolare.

Odin, infatti, utilizza per i file un sistema AES a chiave simmetrica, generando una chiave crittografica diversa per ogni singolo file. Ogni chiave, poi, viene a sua volta crittografata con un sistema a doppia chiave RSA.

RSA utilizza il sistema di crittografia asimmetrica, che usa una chiave pubblica per cifrare i file e richiede una chiave privata per decodificarli. Ai file criptati viene cambiata l’estensione in “.odin”. In definitiva, quindi, i file possono essere recuperati solo con la chiave privata in possesso dei pirati.

Il motivo per cui i cyber-criminali usano questo sistema, spiegano i ricercatori, è legato alla velocità con cui il ransomware può agire. Il sistema di crittografia simmetrica AES, infatti, è molto più veloce di quello a doppia chiave.

Usare il secondo solo per crittografare le chiavi simmetriche permette a Odin di agire fulmineamente e impedire alla vittima di bloccarne l’azione.

Una volta completate le operazioni, il malware presenta la richiesta di riscatto, sostituendo lo sfondo del desktop con un messaggio da parte dei cyber-criminali e aprendo una finestra che permette di visualizzare le istruzioni per il pagamento in diverse lingue. Il riscatto, che dovrebbe essere pagato in bitcoin, equivale a circa 300 dollari.

Condividi l'articolo