LockTheSystem, il nuovo ransomware che attacca l'Italia

I ricercatori di D3lab lo hanno scoperto e segnalato al CERT-AgID, la struttura del governo che si occupa di cybersicurezza.
I ricercatori di D3lab lo hanno scoperto e segnalato al CERT-AgID, la struttura del governo che si occupa di cybersicurezza.
Massimo Reina
Pubblicato il 26 mar 2021

Si chiama LockTheSystem ed è un nuovo virus informatico che una volta penetrato nel sistema, prende il controllo dei dispositivi, cripta i file e poi chiede un riscatto per restituirli. Il codice malevolo viene veicolato tramite delle finte mail che fanno riferimento alla mancata consegna di un pacco.

LockTheSystem, come funziona

LockTheSystem è un ransomware individuato da D3lab, che ne ha poi condiviso il sample con il CERT-AGID, l’agenzia governativa italiana che si occupa di mantenere e sviluppare servizi di sicurezza preventivi e funzioni di accompagnamento utili per la crescita e la diffusione della cultura della sicurezza informatica.

Dalla loro analisi è emerso che il sample si presenta come un PE scritto in .NET con funzionalità di ransomware, e che seppur manchi ancora l’evidenza della famiglia di appartenenza, si tratta di una possibile variante del ransomware PROM o di Thanos. Il file allegato all’email è di tipo .RAR, all’interno del quale è presente un file JS al quale è delegato il compito di scaricare un eseguibile da un server remoto.

Una volta lanciato, il lavoro di inizializzazione è basato sulla decodifica di una lunga lista stringhe che vengono caricate in memoria. Dopo un processo di inizializzazione, il codice malevolo verifica la presenza di specifici processi in esecuzione ed esegue comandi per lanciare o disabilitare servizi (tramite net.exe), per terminare i processi (tramite taskkill.exe), e per disabilitare o ripristinare servizi alla configurazione di default (tramite sc.exe).

Poi compila una lista delle estensioni di file di immagine disco o di backup ed esegue una istruzione powershell per la rimozione delle copie shadow (tramite powershell.exe). L’elenco è piuttosto lungo. Molte delle tecniche rilevate sono già state riscontrate in altri ransomware come ad esempio Sodinokibi e Nemty.

È inoltre interessante notare l’uso di tecniche di offuscamento come la chiamata Array.Reverse() utilizzata per riportare nella forma corretta stringhe base64 memorizzate in modo inverso (es. =QXZpVXcvACbsF2LgM3dvRWYoNFIlRXZsVGR). Per tutti i dettagli vi rimandiamo alla pagina ufficiale di CERT-AGID dedicata al ransomware.

Ti consigliamo anche

Amazon Svuota Tutto: SCONTI TECH OLTRE 60 PER CENTO!
Web e Social

Amazon Svuota Tutto: SCONTI TECH OLTRE 60 PER CENTO!
A10 Cuffie Gaming: da Astro le migliori cuffie cablate col prezzo accessibile e scontatissimo!
Web e Social

A10 Cuffie Gaming: da Astro le migliori cuffie cablate col prezzo accessibile e scontatissimo!
JBL Tune 670NC col super sconto Amazon il prezzo di queste cuffie wireless crolla!
Web e Social

JBL Tune 670NC col super sconto Amazon il prezzo di queste cuffie wireless crolla!
Bosch Professional: 10 prodotti in super SCONTO su Amazon
Web e Social

Bosch Professional: 10 prodotti in super SCONTO su Amazon
Link copiato negli appunti