▾ G11 Media: | ChannelCity | ImpresaCity | SecurityOpenLab | Italian Channel Awards | Italian Project Awards | Italian Security Awards | ...

Ransomware LokiLocker crittografa i dati e cancella l’MBR

Una nuova minaccia mette a rischio i sistemi Windows: è un ransomware che crittografa i file, ma se le vittime non pagano i riscatti richiesti nei tempi previsti, cancella l’MBR rendendo i PC inusabili.

Vulnerabilità

Con i recenti attacchi contro le istituzione ucraine il grande pubblico ha imparato che esistono anche i malware wiper (dall’inglese to wipe, cancellare), strumenti non di certo nuovi, che sono particolarmente distruttivi perché cancellano i file rendendoli di fatto irrecuperabili. I ricercatori di BalackBerry hanno scoperto una famiglia ransomware-as-a-service (Raas) battezzata LokiLocker che è impiegata negli attacchi contro sistemi Windows, e che ha appunto la capacità di cancellare i file, oltre che crittografarli.

Dato che il contesto applicativo è estraneo al conflitto ucraino, l’ipotesi è che l’attacco venga sviluppato come di consueto, con la crittografia, ma che gli attaccanti si riservino la possibilità di rendere inutilizzabili i computer infetti qualora la vittima rifiutasse di pagare il riscatto nei tempi richiesti.

Secondo le fonti, LokiLocker sarebbe attivo almeno da agosto 2021, è scritto in .NET e sfrutta un'implementazione del plug-in di virtualizzazione KoiVM. Utilizza la crittografia AES per cifrare tutti i file che si trovano su unità locali e condivisioni di rete.


Per nascondere la sua attività dannosa, questo malware visualizza una schermata falsa di Windows Update, chiude forzatamente una serie di processi e interrompe servizi specifici quali il Task Manager e la Segnalazione degli errori di Windows. Inoltre, disabilita Windows Defender. Per impedire il recupero dei dati, elimina i file di backup e le copie shadow e rimuove i punti di ripristino del sistema. Cambia anche lo user login e modifica le informazioni OEM (Original Equipment Manufacturer) nel Registro di sistema.

Come molti altri ransomware, LokiLocker cambia i nomi delle cartelle crittografate e crea una nota di riscatto sul desktop che contiene le istruzioni per contattare gli attaccanti via email. La richiesta di riscatto avverte anche le vittime della potenziale cancellazione dei dati qualora non venisse perfezionato il pagamento entro l’intervallo di tempo specificato. Nel caso venisse attivata la cancellazione, verrebbero eliminati in maniera permanente e non reversibile tutti i file non di sistema, e verrebbe sovrascritto l'MBR, rendendo così il computer inutilizzabile.

Stando alle informazioni diffuse da BlackBerry, LokiLocker verrebbe concesso in licenza a un gruppo ristretto di affiliati. Le indagini hanno inoltre rivelato che il malware è stato distribuito attraverso strumenti di hacking brute-checker trojanizzati, che vengono sfruttati per convalidare le informazioni di accesso rubate e accedere ad altri account tramite il credential stuffing.

Questo malware ha già mietuto vittime in tutto il mondo, in particolare in Europa orientale e Asia. Tuttavia, i ricercatori di BlackBerry non sono riusciti a identificarne l'origine esatta, soprattutto perché le stringhe di debug incorporate sono in inglese e il codice non contiene errori di ortografia. Le poche indicazioni finora raccolte sembrano puntare verso sviluppatori iraniani: è da questo paese che proverrebbero infatti alcuni degli affiliati. Inoltre, l'Iran è l'unico paese in cui non si attiverebbe il codice malevolo, anche se questo dettaglio potrebbe essere stato introdotto per depistare le indagini.

Se questo articolo ti è piaciuto e vuoi rimanere sempre informato
Iscriviti alla nostra Newsletter Gratuita. Iscriviti
GoogleNews Rimani sempre aggiornato, seguici su Google News! Seguici

Notizie correlate

Speciali Tutti gli speciali

Speciale

Speciale iperautomazione

Speciale

Speciale Backup e Resilienza 2025

Speciale

Speciale OT Security

Speciale

2025 obiettivo cybersecurity

Speciale

Previsioni per la cybersecurity del 2025

Calendario Tutto

Lug 09
Forcepoint NGFW Multi-Layer Protection in Action
Lug 09
Creatività ed efficienza con Adobe: più veloci, più connessi, più creativi con le ultime novità al servizio dei team creativi
Lug 10
Azure Special Club
Lug 10
Business Meeting Lexmark Marche | XC9525, la nuova generazione della stampa A3
Lug 10
Bootcamp WatchGuard - Sicurezza senza compromessi: Scopri WatchGuard Endpoint Security
Lug 10
scrivi qui il titolo...
Lug 10
Boost Your Backup Strategy con Object First: demo live e casi di successo
Lug 10
Parallels RAS: accesso remoto sicuro, semplice, e scalabile per la tua azienda
Lug 11
TPM 2.0: Il Cuore della Sicurezza nei PC Moderni

Ultime notizie Tutto

Acronis, come semplificare il lavoro di MSP e team IT con il patch management

Umberto Zanatta, Senior Solutions Engineer di Acronis, approfondisce come l’automazione del patch management possa semplificare le attività quotidiane, migliorare l’efficienza e assicurare una maggiore aderenza ai requisiti normativi, anche in ambienti IT complessi e distribuiti

08-07-2025

La rivoluzione quantistica nella cybersecurity: sfide e soluzioni

La rivoluzione del quantum computing mette a rischio la crittografia attuale: Umberto Pirovano di Palo Alto Networks spiega rischi, tempistiche e soluzioni post-quantum.

07-07-2025

SentinelOne premia i partner top performer in EMEA

Nel corso del PartnerOne Summit 2025 il vendor di cybersecurity premia i contributi di eccellenza all'innovazione nelle soluzioni di sicurezza dei propri partner

07-07-2025

Scattered Spider punta su attacchi a catena via fornitori BPO e call center

Noto gruppo criminale sfrutta la compromissione di fornitori BPO e call center per colpire più vittime in settori chiave. Facciamo il punto sulle nuove tattiche.

04-07-2025

Iscriviti alla nostra newsletter

Soluzioni B2B per il Mercato delle Imprese e per la Pubblica Amministrazione

Iscriviti alla newsletter

www.securityopenlab.it - 8.3.21 - 4.6.1