Scoperto il primo ransomware che usa la crittografia intermittente

L'azienda di sicurezza informatica Sophos ha svelato alcuni dettagli inerenti alla scoperta del primo ransomware che sfrutta la crittografia intermittente.

Avatar di Antonello Buzzi

a cura di Antonello Buzzi

Editor

Sophos ha rivelato che una famiglia di ransomware scoperta di recente, chiamata LockFile, è la prima a utilizzare una tecnica chiamata crittografia intermittente per eludere il rilevamento. Symantec aveva riferito lo scorso 20 agosto che LockFile aveva preso di mira organizzazioni operanti nei settori “manifatturieri, dei servizi finanziari, ingegneristici, legali, dei servizi alle imprese e dei viaggi e del turismo" almeno dal 20 luglio. Ma la società ha offerto informazioni limitate su come si sia diffuso LockFile o su come in realtà crittografava i file delle vittime.

Il ricercatore di sicurezza Kevin Beaumont ha in seguito rivelato che LockFile ha sfruttato ProxyShell, una suite di vulnerabilità in Microsoft Exchange divulgata dal ricercatore Devcore Orange Tsai a Pwn2Own 2021 ad aprile, e ha offerto alcune informazioni su come il ransomware esegue l'attacco PetitPotam per prendere il controllo dei server. Un ransomware che sfrutta le vulnerabilità divulgate pubblicamente per condurre un noto attacco ai server Exchange non sorprende particolarmente, ma è qui che entra in gioco Sophos. La società ha affermato che LockFile è il primo ransomware rilevato che utilizza la crittografia intermittente per impedire agli strumenti di sicurezza di individuare la sua attività.

Queste sono le dichiarazioni dell’azienda:

La crittografia intermittente aiuta il ransomware a eludere il rilevamento da parte di alcune soluzioni di protezione perché un documento crittografato sembra statisticamente molto simile all'originale non crittografato.

Ciò significa che LockFile può crittografare i file delle sue vittime senza doversi preoccupare degli strumenti di sicurezza.

Ecco come Sophos ha spiegato cosa distingue il metodo di crittografia di LockFile:

Un file di testo non crittografato di 481 KB (ad esempio un libro) ha un punteggio chi^2 di 3850061. Se il documento è stato crittografato dal ransomware DarkSide, avrebbe un punteggio chi^2 di 334, che è una chiara indicazione che il documento è stato crittografato. Se lo stesso documento è crittografato dal ransomware LockFile, avrebbe comunque un punteggio chi^2 significativamente alto di 1789811. [...] Questo trucco avrà successo contro i software di protezione ransomware che eseguono l'ispezione del contenuto con l'analisi statistica per rilevare la crittografia.

Sophos ha rivelato altri trucchi usati da LockFile per eludere il rilevamento, inclusa l'eliminazione di sé stesso per rendere più difficile l'analisi, ma l'uso della crittografia intermittente è ciò che rende unico il ransomware. Il modo migliore per proteggere un server da LockFile è correggere le vulnerabilità di ProxyShell e difendersi dall'attacco PetitPotam.