Sicurezza

Nuova versione di DMA Locker: è il nuovo re dei ransomware?

La perseveranza è una virtù rara, ma gli autori di DMA Locker hanno dimostrato di averne in abbondanza. Il ransomware adotta la solita strategia: una volta installato sul computer della vittima, cifra tutti i file memorizzati sul PC e chiede un riscatto in Bitcoin in cambio della chiave per decrittarli.

Le prime versioni del ransomware, però, non erano poi così devastanti. DMA Locker 1.0 utilizzava una chiave crittografica unica che era integrata nel codice del ransomware. Risultato: avendo a disposizione un esemplare del malware, era possibile decrittare i file senza grossi problemi.

DMA
Tutti i file crittografati e la richiesta di un pagamento in Bitcoin per ottenere la chiave. Lo schema è classico, ma l’efficacia fino a oggi ha lasciato a desiderare.

La versione 2.0 ha introdotto un sistema più elaborato. La chiave veniva generata casualmente per ogni file crittografato e la chiave pubblica era codificata a sua volta. Il sistema di generazione casuale, però, non era un granché e gli analisti sono riusciti rapidamente a individuare lo schema per creare una chiave di decodifica.

Al terzo tentativo, per la verità, ce l’avevano quasi fatta. Correggendo la procedura per la generazione della chiave, infatti, avevano reso impossibile risalire alla chiave per decrittare i file.

Peccato, però, che la chiave per la decodifica, fosse uguale per tutti. Risultato: dopo che la prima vittima aveva pagato e ottenuto la chiave, era possibile distribuirla anche agli altri.

Ora, però, le cose sono cambiate. Come spiega Hasherezade (è un soprannome) di Malwarebytes in un post sul blog dell’azienda di sicurezza informatica, con la versione 4.0 del ransomware non c’è trucchetto che tenga.

La chiave, infatti, non è più codificata all’interno del malware ma scaricata dai server C&C. Vero che questo impedisce a DMA Locker di agire quando il dispositivo non è connesso a Internet, ma gli autori hanno risolto il problema impostando il malware in modo che rimanga “inerte” fino al collegamento.

Secondo Hasherezade, quindi, DMA Locker è pronto per fare male sul serio. Anche perché potrebbe sfruttare un nuovo metodo di distribuzione, utilizzando il caro vecchio Neutrino, un Exploit Kit che utilizza exploit Flash per distribuire malware attraverso siti Internet compromessi.