LockFile ransomware utilizza una nuova tecnica di crittografia
I ricercatori che lavorano con la società di sicurezza Sophos hanno pubblicato un rapporto su un nuovo ceppo di ransomware chiamato LockFile. Ciò che rende unica la nuova minaccia è il modo in cui crittografa i file sui sistemi delle vittime.
LockFile è un nuovo nome nel panorama del malware, emerso solo di recente, poco dopo la scoperta che i server MS Exchange senza patch erano vulnerabili agli attacchi ProxyShell.
Il team di Sophos spiega che il nuovo ransomware utilizza una tecnica di crittografia che non è mai stata utilizzata da un altro ceppo di ransomware in passato. Il modo in cui LockFile crittografa i file è descritto come "crittografia intermittente". Il rapporto spiega che il malware crittografa "ogni 16 byte" di ciascun file. Sophos spiega inoltre che questo metodo mantiene il file crittografato risultante "statisticamente molto simile" allo stato del file originale.
Questo nuovo approccio alla crittografia aiuta LockFile a ingannare alcune contromisure anti-ransomware, ma non è l'unico strumento di evasione utilizzato dal ransomware. LockFile utilizza anche I/O mappati in memoria durante la crittografia dei file. Ciò mantiene l'I/O del disco al minimo e può ulteriormente mantenere l'attività dannosa di LockFile sotto il radar.
Infine, LockFile non ha nemmeno bisogno di contattare alcun tipo di server di comando e controllo per la comunicazione. Ciò rende il ransomware ancora più difficile da individuare in anticipo su un sistema vittima, poiché non sono presenti connessioni in uscita sospette tracciabili.
LockFile utilizza uno strumento Windows legittimo chiamato Windows Management Interface o WMI, uno strumento da riga di comando che viene fornito in bundle con ogni versione e installazione di Windows moderno. WMI viene utilizzato per arrestare i processi relativi alla gestione e alla virtualizzazione del database. Ciò garantisce che i file siano ora maturi per lo sfruttamento e anche che utilizzando WMI come intermediario, non diventi immediatamente ovvio che i processi legittimi sono stati chiusi dal ransomware.
Sophos ha inoltre spiegato perché il metodo di crittografia intermittente può ingannare alcune difese. Il modo in cui funziona ha a che fare con un metodo di verifica chiamato "chi quadrato". Questo metodo assegna a ogni file un punteggio. Se un file è crittografato con altri ceppi di ransomware, anche quelli che crittografano solo i primi blocchi del file, avranno una divergenza significativa nel suo punteggio di chi quadrato, rispetto al file originale. Tuttavia, il metodo di crittografia intermittente produce file con punteggi di chi quadrato molto più vicini ai file originali.
