Delle operazioni ransomware vi abbiamo parlato molto spesso in questa sede. Di solito, si tratta di attacchi molto elaborati e cauti, nel senso che i gruppi più preparati possono impiegare anche settimane per pianificare l'operazione e fare in modo che la vittima si trovi costretta a pagare il riscatto senza alcuna alternativa per rientrare in possesso dei propri dati.
E, sebbene pagare il riscatto non garantisca sempre il recupero dei dati, i gruppi che operano a livello "professionale" tendono ad attenersi al cosiddetto "cerchio di fiducia", restituendo i file a chi decide di pagare. D'altronde, troppi casi di dati perduti danneggerebbero il "business": che senso ha pagare il riscatto se poi i dati non vengono recuperati? Ancora una volta, non è sempre così, ma in generale, la logica dei gruppi più organizzati è questa.
E poi c'è AstraLocker 2.0. Questa nuova iterazione del ransomware è stata rilevata da ReversingLabs, che ne ha definito l'operazione come "smash and grab", ovvero una modalità di attacco molto aggressiva e che punta direttamente alla crittografia per capitalizzare l'attacco nel minor tempo possibile, partendo dal presupposto che il malware verrà individuato quasi subito.
AstraLocker 2.0 si diffonde tramite un file Word compromesso inviato tramite e-mail, che nasconde un payload sotto forma di oggetto OLE integrato. Niente di sofisticato come abbiamo visto con Follina: l'utente dovrà fare doppio clic sul file (e per cui si innesca una notifica di sicurezza).
In ogni caso, il ransomware tenterà di disattivare gli antivirus e le altre misure di sicurezza come quelle volte a neutralizzare le operazioni crittografiche, evitando le macchine virtuali (possibile segnale che si tratti di un ambiente di prova in laboratorio).
Il riscatto richiesto dagli operatori di AstraLocker 2.0 ammonta a 50 dollari statunitensi, tuttavia la restituzione dei dati, semplicemente, non avviene. Infatti nel testo di accompagnamento al ransomware, l'indirizzo e-mail della campagna originale (precedente a questa versione) è stata sostituita da un altro indirizzo che, però, è incluso solo parzialmente, di conseguenza non c'è modo di richiedere lo strumento di decrittazione.
Non è chiaro se si tratti di una svista degli autori o di un danno causato intenzionalmente, ciò che è certo è che le vittime molto difficilmente recupereranno i dati perduti.