OphionLocker, un nuovo ransomware utilizza la curva ellittica per la crittografia, Tor per la comunicazione e malvertising per la propagazione

Table Of Contents

• OphionLocker Ransomware utilizza la curva ellittica per la crittografia, Tor per la comunicazione e malvertising per la propagazione
• Crittografia a curva ellittica
• Funzionamento
• I ransomware diventano sempre più ostinati

OphionLocker Ransomware utilizza la curva ellittica per la crittografia, Tor per la comunicazione e malvertising per la propagazione

Una nuova varietà di ransomware è stata scoperta dai ricercatori di Trojan7Malware. Chiamato OphionLocker, questo ransomware è molto unico nel senso che utilizza la crittografia a curva ellittica per la crittografia dei file e Tor per la comunicazione. Un’altra firma unica di OphionLocker è che utilizza campagne di malvertising per propagarsi piuttosto che metodi tradizionali di spear phishing.

Crittografia a curva ellittica

La crittografia a curva ellittica (ECC) è una crittografia a chiave pubblica basata sulla struttura algebrica delle curve ellittiche su campi finiti. Uno dei principali vantaggi della crittografia ECC è che fornisce lo stesso livello di crittografia con dimensioni delle chiavi più piccole.

Questa forma algebrica di crittografia si basa sulla risoluzione del logaritmo discreto di un elemento casuale della curva ellittica. Questo, come l’idea più familiare di fattorizzare il prodotto di due numeri primi molto grandi, offre una funzione unidirezionale per sostenere la sicurezza dei sistemi di crittografia a chiave pubblica. ECC offre livelli di sicurezza equivalenti con dimensioni delle chiavi inferiori, un vantaggio particolare nei sistemi con potenza di calcolo limitata, come gli smartphone.

Funzionamento

Una volta che una potenziale vittima ha scaricato il malware visitando un sito web che serve il codice di malvertising, esso crittografa i file disponibili e poi utilizza un URL Tor2web per navigare verso una pagina di istruzioni su come pagare per ottenere lo strumento di decrittazione. Gli attaccanti richiedono un pagamento di un Bitcoin per lo strumento di decrittazione, che corrisponde a 350 dollari secondo i tassi di cambio odierni. Tuttavia, il prezzo per lo strumento di decrittazione può cambiare in base alla geolocalizzazione della vittima. Trojan7Malware ha fornito il seguente schema di crittografia dei file di questo ransomware, simile ai tipi di file crittografati da CryptoLocker e TorLocker.

Estensioni crittografate;
“accdb”,0,”.ai”,0,”.arw”,0,”.bay”,0,”.blend”,0,”.cdr”,0,”.cer”,0,”.cr2″,0,”.crt”,0,”.crw”,0,”.dbf”,0,”.dcr”,0,”.der”,0,”

.dng”,0,”.doc”,0,”.docm”,0,”.docx”,0,”.dwg”,0,”.dxf”,0,”.dxg”,0,”.eps”,0,”.erf”,0,”.indd”,0,”.jpe”,0,”.jpg”,0,”.jpeg”,0,”

.kdc”,0,”.mdb”,0,”.mdf”,0,”.mef”,0,”.mrw”,0,”.nef”,0,”.nrw”,0,”.odb”,0,”.odm”,0,”.odp”,0,”.ods”,0,”.odt”,0,”.orf”,0,”

.p12″,0,”.p7b”,0,”.p7c”,0,”.pdd”,0,”.pdf”,0,”.pef”,0,”.pem”,0,”.pfx”,0,”.ppt”,0,”.pptm”,0,”.pptx”,0,”.psd”,0,”.pst”,0,”

.ptx”,0,”.r3d”,0,”.raf”,0,”.raw”,0,”.rtf”,0,”.rw2″,0,”.rwl”,0,”.srf”,0,”.srw”,0,”.wb2″,0,”.wpd”,0,”.wps”,0,”.xlk”,0,”

.xls”,0,”.xlsb”,0,”.xlsm”,0,”.xlsx”,0,0″

Un aspetto interessante di questo ransomware è che cerca di essere consapevole dell’ambiente in cui sta operando. Se il malware rileva un ambiente virtuale, non chiederà alcun pagamento. Gli ambienti virtuali sono generalmente utilizzati dai ricercatori di sicurezza contro malware come questo.

Un’altra caratteristica unica di questo malware è che genera un numero HWID (HardWare Identification) per garantire che solo un campione possa essere generato per PC.

Gli autori/gestori di questo malware sembrano utilizzare queste tecniche per nascondere il ransomware il più a lungo possibile dai ricercatori di sicurezza e anche per mettere in blacklist qualsiasi PC che ritengano sia stato compromesso dai ricercatori di sicurezza.

OphionLocker è più letale degli avatar di ransomware precedenti perché non ha bisogno di connettività a Internet o interazione dell’utente per iniziare la crittografia. Questo perché una chiave pubblica è già presente nel payload scaricato dalla vittima. Questo rende più difficile rilevare o prevenire l’infezione.

I ransomware diventano sempre più ostinati

La propagazione e la ferocia di questi ransomware e dei gestori/attaccanti/autori sembrano migliorare e diventare più audaci, utilizzando tecniche di crittografia sempre più complicate. Nonostante l’abbattimento di alto profilo di CryptoLocker, il ransomware rimane una minaccia mortale per gli utenti. I progressi nelle tecniche adottate dagli autori di questo tipo di malware possono essere notati in OphionLocker, che utilizza una crittografia a chiave più piccola con crittografia a curva ellittica e la rete di anonimato Tor per la comunicazione con il suo server di comando e controllo.

Risorsa: Trojan7Malware