Nuova e-mail truffa diffonde il ransomware LockTheSystem
Alessia Gaglianese 25 Marzo 2021
Una nuova truffa gira tra le caselle di posta elettronica e diffonde il ransomware LockTheSystem. Ecco come riconoscerla e come difendersi.
Negli ultimi giorni gira un’email di spam che in realtà cela un pericoloso ransomware. L’e-mail truffa è stata individuata da D3lab, che ha condiviso il sample con il CERT-AGID. Attraverso l’analisi, i ricercatori di CERT-AGID hanno identificato il ransomware e lo hanno denominato LockTheSystem. Il malware si diffonde tramite posta elettronica.
Come avviene la truffa
Il messaggio di posta elettronica che vincola il ransomware ha come oggetto “Conferma di partenza della spedizione N°” ed è scritto in italiano quasi corretto.
Nell’email, la vittima viene avvisata di un mancato pagamento, che ammonta a 9,21 euro e che ha bloccato la spedizione del pacco. Allegato a questa e-mail, vi è un file in formato RAR, al cui interno in realtà è presente uno script JS. Lo script ha la funzione di dropper, con lo scopo di scaricare un file eseguibile da un server remoto.
Al momento non vi è evidenza della famiglia di appartenenza della truffa e del ransomware. Alcuni dettagli, però, fanno pensare che si tratti di una variante del ransomware PROM o di Thanos.
Il ransomware LockTheSystem
La truffa entra in funzione una volta scaricato il file RAR dell’email. Il file, infatti, che contiene il ransomware LockTheSystem, avvia la decodifica di una lunga lista di stringhe, che vengono successivamente caricate nella memoria del sistema.
Il file provvede, inoltre, a terminare una serie di processi attivi e lanciare alcuni servizi di rete mediante il comando net.exe. Successivamente, il ransomware termina alcuni servizi di sistema e disabilita servizi alla configurazione di default.
LockTheSystem provvede, inoltre, a compilare una lista delle estensioni di file di immagine disco o di backup eventualmente presenti sul sistema target ed esegue il comando PowerShell per cancellare tutte le copie shadow di Windows e impedire così alla vittima di ripristinare i propri file.
I file vengono cifrati
Gli analisti del CERT-AGID hanno scoperto che il ransomware verifica se tra i processi in esecuzione vi siano quelli utilizzati tipicamente per l’analisi dei malware. Il suo scopo è quello di far passare inosservata la truffa ai sistemi di controllo.
Inoltre, LockTheSystem analizza l’hard disk per decifrare i file della vittima attraverso l’algoritmo AES-256-CBC. Una volta completata la cifratura, all’utente viene mostrato sul desktop una nota di riscatto.
La note richiede alla vittima di contattare l’hacker tramite Telegram, scrivendo un messaggio all’account @Lockthesystem.
Come difendersi dalle truffe
I ricercatori di CERT-AGID hanno pubblicato tutti gli IoC che è possibile utilizzare per identificare e bloccare la truffa.
È importante, però, seguire periodicamente una serie di regole per evitare di ricadere in futuro in altri attacchi ransomware:
- aggiornare periodicamente i propri sistemi e le proprie applicazioni per correggere le vulnerabilità;
- effettuare periodicamente un backup dei dati;
- custodire adeguatamente le copie di sicurezza in soluzioni offline o cloud based;
- prestare attenzioni a e-mail di provenienza sospetta;
- evitare di aprire gli allegati di posta elettronica provenienti da mittenti sconosciuti.
