Complice la recente rivelazione di una nuova superficie d’attacco per i server microsoft exchange non aggiornati da maggio scorso la diffusione di nuovi ransomware non tende a diminuire assolutamente, attraverso le Attack-Chain di ProxyShell e PetitPotam, LockFile ha fatto la sua comparsa. A prima vista si tratta di un clone di Lockbit 2.0 dato che la sua hta (pagina di presentazione) è pressoché identica. Quello che distingue questo ransomware dagli altri è una curiosa tecnica di antivirus evasion. 

Crittografia intermittente 

Conti, Lockbit o altri malware della stessa famiglia, crittano i primi blocchi di un file impedendone così la lettura e velocizzando il completamento della fase di crittografica del malware. Lockfile invece critta i file a blocchi di 16 bytes in modo alternato, dato che il file può essere ancora parzialmente letto, vengono rese inutili le rilevazioni di compromissione crittografica basate su metodi statistici, poiché il file è sufficientemente simile all’originale da non generare allarmi. Una volta completata la fase di crittografia e generate le note di contatto il malware cancella sé stesso lasciando antivirus senza cose da pulire e gli incident responders senza binari da esaminare. 

Catena d'attacco 

Il malware viene iniettato tramite le recenti vulnerabilità ProxyLogon, Proxy shell e PetitPotam dei server microsoft exchange (particolarmente pericolose perché il componente vulnerabile, Auto Discovery è attivo di default). Una volta ottenuto l’accesso vengono creati nella cartella Sysvol\domain\script diversi file: autologin.bat autologin.exe autologin.dll e autologin.sys, componenti di un pacchetto di sviluppo kernel (KDU) che in modo tuttora non molto chiaro permettono la persistenza. Viene creato inoltre, il file autoupdate.exe contenente una variante di LockFile specifica per ogni azienda colpita. Questa localizzazione della minaccia permette la sua esecuzione indipendentemente dall’utente connesso. L'attacco viene eseguito e lasciata una lettera per il contatto in formato hta invece che txt giusto per renderla visivamente più accattivante, incredibilmente somigliante alla grafica di Lockbit 2.0. Non è chiaro se i due ransomware siano collegati fra di loro, se questa sia una variante o se un simpatizzante della gang ha lasciato un tributo; dato che anche l'e-mail di contatto ha chiari riferimenti ad un altro ransomware: Conti. 

Lo sviluppo di un ransomware  

In natura i ransomware allo stato brado nascono crescono e corrono lungo la rete seguendo più o meno le stesse fasi di sviluppo. 

Nella fase che potremmo definire embrionale, i ransomware eseguono tecniche tattiche e procedure note di facile implementazione per testare il prodotto. Le stringhe nel programma non sono offuscate e la crittografia sfrutta un solo thread risultando molto lenta, inoltre vengono controllati gli id dei linguaggi installati per evitare che il malware venga eseguito negli stati “CIS” che corrispondono più o meno al vecchio blocco sovietico. 

Dopo circa due mesi vengono implementati elementi più sofisticati, ad esempio viene introdotto il MultiThreading. Le stringhe vengono offuscate e creata una lista di software e servizi da interrompere durante l'esecuzione del malware. Il ransomware durante questa fase comincia a farsi conoscere nei forum dedicati. 

Dopo circa 4 mesi il malware raggiunge l’età adulta e cominciano comparire comportamenti avanzati come: la crittografia intermittente di cui abbia parlato prima, le tecniche avanzate di persistenza, UAC bypass e l’eseguibile viene firmato con un certificato valido di cui sono state rubate le chiavi. Il ransomware viene ora offerto come RaaS e viene creato un programma di affiliazioni. 

Il messaggio qui è che il panorama delle minacce informatiche non è mai stagno e gli attaccanti sfrutteranno metodi di evasione sempre nuovi, spesso anche fantasiosi. LockFile e i suoi misteri sono una chiamata alle armi per Malware Analysts e Reverse Engineers iscriviti ai corsi per aiutare l’informatica a liberarsi da questa piaga.

Tweet