Ransomware: IKARUSdilapidated sfugge agli antivirus e attacca le aziende

Ago 17, 2017 Giancarlo Calzetta Attacchi, In evidenza, Malware, Minacce, Minacce, News, Ransomware, RSS 0

Un nuovo attacco ransomware noto come IKARUSdilapidated, probabilmente derivato da Locky ,sfugge all’identificazione di alcuni antivirus grazie a una collaborazione con Dridex.

All’inizio di agosto è partita una nuova campagna di ransomware che ha visto protagonista una variante del temuto ransomware Locky, nota come IKARUSdilapidated, condotta con il metodo che è ormai un classico.

Secondo quanto riportato da Tom Spring su uno dei blog di Kaspersky Lab, uno studio effettuato dai ricercatori di Comodo Threat Intelligence Lab ha rivelato che dal 9 di agosto, fino al 12 dello stesso mese, una botnet si è occupata di inviare a oltre 60.000 indirizzi una mail con un testo molto stringato e un allegato.

Quest’ultimo ha un’estensione variabile (può essere un .doc, un .vbs, un .tiff o altro) e un nome abbastanza criptico che riporta una E seguita dalla data in notazione inversa anglosassone e un numero a tre cifre (che cambia anche lui da una mail all’altra) tra parentesi.

Se il destinatario lancia il file, si troverà davanti a un file di word pieno di caratteri incomprensibili e un avviso che sprona l’utente ad attivare le macro se la decodifica del file dovesse essere errata.

Chi cade nella trappola, forse evidente per un esperto ma sicuramente ben congegnata per colpire utenti medi, permette a uno script di scaricare il ransomware vero e proprio, che ha la particolarità di essere particolarmente sfuggente ed efficace. A quanto pare, infatti, il file del ransomware viene classificato come file sconosciuto dalla maggior parte degli antivirus e se il programma di protezione non è impostato per bloccare tutti i file non classificati, viene scaricato senza problemi.

Fin qui, non c’è niente di nuovo, ma la vera particolarità consiste nel fatto che grazie a una sorta di collaborazione con gli autori di Dridex, trojan famigerato per la sua capacità di nascondere le proprie spoglie agli strumenti di analisi in sandbox, IKARUSdilapidated riesce a passare indenne tra le maglie di alcuni motori (non ancora meglio specificati) di analisi comportamentale e codice.

In altre parole, abbiamo un ransomware ninja che usa gli algoritmi RSA-2048 e AES-128 per codificare i nostri file con un nome particolarmente trendy scelto perché i ricercatori che hanno analizzato il malware sono rimasti incuriositi da questa stringa (IKARUSdilapidated) contenuta nei binari della nuova versione di Locky.

Con il già tristemente noto ransomware, questo nuovo malware condivide molte similitudini già a partire dal nome che dà ai file criptati, modificandolo in una sequenza univoca di 16 caratteri composta da lettere e numeri seguiti dall’estensione .locky.

Si spera che questa variante non riesca a replicare le prestazioni del suo progenitore che vanta, secondo una ricerca di Google, ben 7,8 milioni di dollari di profitti dal momento del debutto.

Di sicuro, le richieste economiche sono tutt’altro che abbordabili. Dopo aver criptato i file, infatti, IKARUSdilapidated visualizza un messaggio nel quale richiede un ammontare compreso tra il mezzo il bitcoin intero (la cui quotazione sta oggi sfiorando i 4000 dollari).

Analizzando un campione delle 62.000 email collegate a questa campagna, si è visto come molti indirizzi IP appartengano a provider di connettività Internet, corroborando la tesi che per la diffusione sia stata usata una botnet di ignari utenti infetti diffusi praticamente in tutto il mondo.

Condividi l'articolo

Giancarlo Calzetta, Hacking, IKARUSdilapidated, Locky, malware, Ransomware, sicurezza informatica

Playstation di nuovo sotto attacco, ma stavolta “sono i buoni” di OurMine Shadowpad è una Backdoor in Xmanager, Xshell, Xftp e Xlpd: aggiornare subito!