Maze: verso un “cartello” del ransomware

, Author

Verso un “cartello del ransomware”?

Gli hacker dietro Maze sembrano andare in quella direzione.

Una recente pubblicazione sul loro “sito vetrina” ne è la prova. Include dati da un’operazione con un altro gruppo di criminali informatici.

Questo gruppo è noto come LockBit.
Il team di Maze conferma la collaborazione, focalizzata sulla “condivisione della sua esperienza e piattaforma”. Aggiunge che sta conducendo discussioni con altri collettivi, uno dei quali dovrebbe unirsi al ciclo “in pochi giorni.”

LockBit è tra i ransomware venduti “come servizio”. I suoi componenti sono affittati attraverso un programma di affiliazione lanciato all’inizio del 2020.

Sophos aveva pubblicato un’analisi dettagliata di esso qualche settimana fa.

Discreto, ma non troppo

L’azienda britannica osserva, in particolare, che LockBit è progettato per non attaccare i sistemi legati alla Russia e alle ex repubbliche sovietiche (unite nella Comunità degli Stati Indipendenti).
Il filtraggio viene effettuato sulla base della lingua principale del sistema. Con eccezioni per azeri, armeni, bielorussi, georgiani, kazaki, russi, tagiki, uzbeki e ucraini.

Il ransomware presenta diverse ottimizzazioni progettate per migliorare le sue prestazioni. Tra, la tecnologia Intel Instruction Set Extension (SSE) e l’API IOCP, che permette diverse operazioni di I/O asincrone.

Ha anche alcuni elementi curiosi. Per esempio, bloccando l’esecuzione ogni volta che viene fatto con parametri aggiunti sulla linea di comando. Secondo Sophos, dovrebbe essere vero il contrario, riflettendo una tecnica classica per rilevare l’esecuzione sandboxed.

Se non ha privilegi di amministratore, LockBit li ottiene bypassando UAC (Windows User Account Control). Per questi scopi, si spaccia per un processo affidabile (explorer.exe).
Poi elenca le unità di rete crittografabili. Compresi quelli che richiedono un’identificazione. Per fare questo, tenta una connessione con il login e la password della sessione corrente.

Oltre ai processi e ai servizi che cerca di chiudere prima dell’esecuzione, il ransomware ha una lista di elementi da non criptare. Tra questi ci sono file che potrebbero impedire l’avvio del sistema… e la visualizzazione della nota di riscatto.

Il messaggio appare come sfondo. Ma Sophos ha individuato un caso in cui LockBit è andato più a monte. Ha criptato parte del settore di avvio del disco, impedendo l’avvio finché non viene inserita una password.

Molte misure sono state messe in atto per non lasciare tracce. Ma LockBit non si nasconde quando cerca di impedire lo spegnimento del sistema di destinazione: i messaggi di avvertimento sono… nel suo nome.

Lascia un commento

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *