Un nuovo ransomware circola sul web. Si chiama Data Keeper ed è stato scoperto dagli esperti di sicurezza informatica di Bleeping Computer. Lo rende noto il CERT nazionale italiano.
Il malware, peraltro, è offerto gratuitamente come Ransomware-as-a-Service (RaaS) nel Dark Web. Gli autori hanno cominciato a pubblicizzare il servizio già a partire dallo scorso 12 febbraio, rendendolo disponibile online il 20 dello stesso mese. Già dopo soli due giorni sono state segnalate le prime infezioni. Come riporta il CERT, “il sito di Data Keeper consente a chiunque di attivare un account senza dover pagare una registrazione e permette di generare immediatamente eseguibili personalizzabili del ransomware”. Inoltre, I gestori del servizio incoraggiano gli utenti a diffondere loro creazioni con la promessa di una ricompensa in Bitcoin” per ogni vittima che paga il riscatto dovuto al cyber attacco. Ciò “secondo uno schema di affiliazione già visto in altri casi recenti, come Saturn”.
I malware generati attraverso Data Keeper sono codificati utilizzando il framework .NET e consistono di quattro stadi differenti
L’analisi effettuata dai ricercatori di sicurezza informatica del MalwareHunterTeam – prosegue il CERT Nazionale italiano – ha permesso di stabilire che i malware generati tramite il servizio di Data Keeper sono codificati utilizzando il framework .NET e consistono di quattro stadi differenti. Il primo è un eseguibile con estensione “.exe” con funzione di dropper, che ne crea un secondo nella cartella dei file temporanei delle applicazioni. Questo file ha un nome casuale e l’estensione “.bin” e viene mandato in esecuzione nascosta a bassa priorità. Inoltre carica una DLL (terzo stadio) che a sua volta ne carica un’altra (quarto), la quale contiene il codice vero e proprio del ransomware. Questo si occupa della cifratura dei file sulla macchina della vittima colpita dal cyber attacco. Tutti gli stadi del malware contengono stringhe e risorse protette con tecniche proprietarie e codice offuscato mediante ConfuserEx, un software libero per la protezione di applicazioni .NET.
Il ransomware è in grado di cifrare i file con estensioni associate a immagini, video, audio, documenti, backup, archivi e database
Un’altra caratteristica specifica di Data Keeper è l’uso di PsExec, uno strumento di amministrazione remota a linea di comando, per lanciare il ransomware su altri PC sulla stessa rete locale della macchina infetta. Una volta lanciato sul computer della vittima, il malware utilizza gli algoritmi AES e RSA-4096 per cifrare i file localmente e sulle condivisioni di rete accessibili. Il codice malevolo cifra i file sulla base delle estensioni selezionate in fase di configurazione. Data Keeper è in grado di cifrare i file con estensioni associate a immagini, video, audio, documenti, backup, archivi e database. A differenza della maggior parte dei malware di questa categoria, però, il malware non aggiunge alcuna estensione personalizzata ai file cifrati. Una volta terminata la fase di cifratura, il ransomware crea in ogni cartella 1contenente file colpiti dal cyber attacco un file con all’interno la nota di riscatto.
A seguito del cyber attacco si chiedono alla vittima tra i 500 e i 1.500 dollari di riscatto in Bitcoin per sbloccare i file cifrati
La nota di riscatto di Data Keeper informa la vittima dell’avvenuta cifratura e fornisce istruzioni su come riottenere l’accesso ai file presi in ostaggio dal ransomware. La cifra richiesta per sbloccarli è variabile e può essere scelta in fase di configurazione del malware. Di solito oscilla tra i 500 e i 1500 dollari da pagare in Bitcoin. Come sempre, il CERT Nazionale italiano raccomanda di non pagare in nessun caso per non alimentare questo tipo di attività criminali. Al momento, comunque, la capacità di individuazione di Data Keeper da parte dei più diffusi antivirus risulta già abbastanza elevata.
