LockTheSystem, il nuovo ransomware che attacca l’Italia

I ricercatori di D3lab lo hanno scoperto e segnalato al CERT-AgID, la struttura del governo che si occupa di cybersicurezza.

Si chiama LockTheSystem ed è un nuovo virus informatico che una volta penetrato nel sistema, prende il controllo dei dispositivi, cripta i file e poi chiede un riscatto per restituirli. Il codice malevolo viene veicolato tramite delle finte mail che fanno riferimento alla mancata consegna di un pacco.

LockTheSystem, come funziona

LockTheSystem è un ransomware individuato da D3lab, che ne ha poi condiviso il sample con il CERT-AGID, l’agenzia governativa italiana che si occupa di mantenere e sviluppare servizi di sicurezza preventivi e funzioni di accompagnamento utili per la crescita e la diffusione della cultura della sicurezza informatica.

Dalla loro analisi è emerso che il sample si presenta come un PE scritto in .NET con funzionalità di ransomware, e che seppur manchi ancora l’evidenza della famiglia di appartenenza, si tratta di una possibile variante del ransomware PROM o di Thanos. Il file allegato all’email è di tipo .RAR, all’interno del quale è presente un file JS al quale è delegato il compito di scaricare un eseguibile da un server remoto.

Una volta lanciato, il lavoro di inizializzazione è basato sulla decodifica di una lunga lista stringhe che vengono caricate in memoria. Dopo un processo di inizializzazione, il codice malevolo verifica la presenza di specifici processi in esecuzione ed esegue comandi per lanciare o disabilitare servizi (tramite net.exe), per terminare i processi (tramite taskkill.exe), e per disabilitare o ripristinare servizi alla configurazione di default (tramite sc.exe).

Poi compila una lista delle estensioni di file di immagine disco o di backup ed esegue una istruzione powershell per la rimozione delle copie shadow (tramite powershell.exe). L’elenco è piuttosto lungo. Molte delle tecniche rilevate sono già state riscontrate in altri ransomware come ad esempio Sodinokibi e Nemty.

È inoltre interessante notare l’uso di tecniche di offuscamento come la chiamata Array.Reverse() utilizzata per riportare nella forma corretta stringhe base64 memorizzate in modo inverso (es. =QXZpVXcvACbsF2LgM3dvRWYoNFIlRXZsVGR). Per tutti i dettagli vi rimandiamo alla pagina ufficiale di CERT-AGID dedicata al ransomware.

Ti potrebbe interessare