skip to Main Content

Cyber Security, cresce il pericolo del ransomware MedusaLocker

Cyber Security, Cresce Il Pericolo Del Ransomware MedusaLocker

di Pierguido Iezzi

Cresce l’uso da parte del cybercrime del ransomware MedusaLocker

Oggi il Ransomware è forse uno dei problemi di Cyber Security più difficili da eradicare. Quello che è iniziato come un malware che si rivolgeva specificamente agli utenti privati, ora attacca governi e aziende. Nemmeno le multinazionali della Fortune 500 sono al sicuro dall’essere infettate, nonostante abbiano spesso personale di sicurezza dedicato. Le ragioni del continuo aumento del ransomware sono numerose e più si scava, più il quadro diventa complesso. Tuttavia, lo studio di vari ceppi di malware rivela come le infezioni possono essere combattute. Uno di questi è MedusaLocker: è relativamente nuovo sulla scena e rivela di più su come il cybercrime cerchi di infettare i dispositivi e di criptare i dati. Negli ultimi tempi viene sempre più usato per campagne di attacchi.

La storia del codice malevolo, nato verso la fine di settembre 2019 ma ancora molto poco conosciuto

MedusaLocker, scoperto dagli esperti di cyber security verso la fine di settembre 2019, ha iniziato a contagiare gli utenti di tutto il mondo. In poco più di 30 giorni dal suo arrivo veniva rilevato in media quasi 10 volte al giorno, secondo il sito ID Ransomware. Questo potrebbe non sembrare sbalorditivo in termini di numeri, ma per un nuovo ceppo di malware ha fatto un grande balzo in avanti per farsi notare. Dalla sua scoperta, il codice malevolo è riuscito a non farsi “notare” troppo. Ciò grazie in parte al fatto che i media hanno prestato maggiore attenzione a Ryuk, Sodinokibi, DoppelPaymer e Maze, i cui autori hanno rilasciato o minacciato di diffondere i dati rubati alle vittime in caso di mancato pagamento del riscatto. 

Cosa sappiamo sul malware?

Mentre gran parte di MedusaLocker e di chi sta dietro al ransomware rimane un mistero, l’analisi del codice ha rivelato molto. I ricercatori di cyber security non sono ancora sicuri di come esattamente il malware venga consegnato e installato; tuttavia, alcuni ritengono che le prove puntino fortemente verso i payload dannosi che vengono consegnati dalle email di spam, con il malware direttamente allegato all’email. Nonostante non si sappia con esattezza come viene veicolato, si sa molto di come il ransomware faccia ciò per cui è stato progettato, ovvero criptare i dati. Al momento dell’esecuzione, il codice malevolo fa qualcosa che non si vede in molti altri ceppi: Prende misure per assicurarsi che sia in grado di infettare non solo la macchina mirata, ma anche gli host remoti e adiacenti. Il processo che segue gli consente di infettare le unità di rete mappate e di crittografare i dati su di esse. 

Il cybercrime cerca di proteggere il ransomware dalle analisi degli esperti di cyber security e degli antivirus

MedusaLocker, per completare al meglio questo compito, si spinge fino a riavviare il servizio LanmanWorkstation, responsabile della creazione e del mantenimento delle connessioni di rete attraverso il protocollo SMB. Il riavvio del servizio costringe tutti i cambiamenti di configurazione che il ransomware del cybercrime impone al servizio; non solo sulla macchina infetta ma anche sulla rete. Una volta completata questa operazione, il malware cerca di impedire il rilevamento da parte di vari antivirus. Lo fa terminando i processi di collegamento ai prodotti di sicurezza tra cui G Data, Qihoo 360 e Symantec. Inoltre, cerca di prevenire le applicazioni tipicamente utilizzate dai ricercatori di cyber security per analizzare e invertire il malware come MS SQL, Apache Tomcat e VMware.  Ma le applicazioni di sicurezza e quelle utilizzate per il reverse-engineering non sono gli unici obiettivi del ransomware; il malware si rivolge anche alle applicazioni associate ai software di contabilità. 

L’utilizzo dell’algoritmo AES 256 blinda il codice malevolo da attacchi brute force per decifrare la chiave

Come molti ceppi di ransomware moderni, MedusaLocker sfrutta AES 256 per criptare i dati. Uno dei motivi per cui questo algoritmo viene utilizzato è il suo livello di protezione di crittografia incredibilmente forte garantito dall’inclusione di una chiave 256. Per decifrare una tale chiave, una persona dovrebbe provare più combinazioni di quante ne esistano di atomi nell’universo osservabile. Ciò rende l’AES 256 praticamente blindato contro metodi di forza bruta. Esistono altri metodi per rompere la chiave di cifratura tramite attacchi laterali; tuttavia, per coloro che sono generalmente infettati dal ransomware, l’esecuzione di una tale operazione va ben oltre il loro grado e la loro capacità. Motivo per cui è sempre consigliato affidarsi alle competenze specializzate di Cyber Security experts. 

Attivo anche un meccanismo di persistenza innovativo: Si crea un’attività pianificata ogni 10 o 30 minuti e vengono ignorati i file già cifrati. Inoltre, i riscatti sono variabili a seconda della vittima

Peraltro, MedusaLocker funziona a intervalli prestabiliti durante la cifratura dei dati. Tra una ricerca e l’altra di altri file da crittografare, rimane inattivo per 60 secondi, quindi inizia un’altra ricerca. Inoltre, per rimanere persistente sulla macchina infetta, crea un’attività pianificata ogni 10 o 30 minuti. Questa capacità di ignorare i file già cifrati rende il processo molto più efficiente rispetto ai precedenti ceppi di malware. Quello che sappiamo del riscatto legato al ransomware è come la nota viene consegnata alla macchina infetta. In ogni file dove i dati sono criptati, il codice malevolo creerà una nota di riscatto denominata HOW_TO_RECOVER_DATA.html o Readme.html. Questa contiene due indirizzi email da contattare per le istruzioni di pagamento. La nota non contiene istruzioni sull’importo da pagare. Questo è forse un indicatore del fatto che gli operatori applicano un sistema di prezzi variabili a seconda della vittima. 

Back To Top