Yoroi Z-Lab ha messo a punto un decryptor per il ransomware LooCipher con l’obbiettivo di impedire ai criminali informatici di sfruttare questo ennesimo strumento di ricatto per minacciare organizzazioni e aziende. Nonostante il suo soprannome evocativo, che allude sia alla figura religiosa popolare, ‘Lucifero’, che alle sue capacità cyber, ‘Cipher’ , le funzionalità di questo malware sono piuttosto semplici, e tuttavia capaci di eseguire campagne estorsive su larga scala.
Lo comunica con una nota stampa Cybaze Cybaze Group, azienda di consulenza strategica in cybersecurity per le aziende e le istituzioni.
LooCipher è una famiglia di ransomware che si diffonde attraverso e-mail maligne che incorporano documenti Office infetti, cifra tutti i file sul computer vittima, abusa dei servizi proxy di Clearnet-to-Tor per connettersi al suo Command and Control nascosto dietro i siti del famoso servizio di anonimzzazione TOR, The Onion Router.
Per contrastare questa minaccia all'inizio di luglio il team Yoroi Z-Lab ha rilasciato pubblicamente un dettagliato rapporto su LooCipher in quanto il vettore iniziale lasciava prefigurare un'importante diffusione del software malevolo nei giorni successivi. Pochi giorni dopo i ricercatori di Fortinet hanno pubblicato un report su LooCipher (disponibile qui) focalizzato sull'algoritmo di crittografia. Yoroi ha fatto il resto ricostruendo la chiave originale per decrittare tutti i file interessati.
Spesso le analisi sono sufficienti per bloccare temporaneamente i cyber-criminali condividendo gli indicatori di compromissione (IOC) che consentono ad attori nazionali e internazionali (ISP, venditori AV, CERT) di bloccare le connessioni o di eliminare i file. Ma quando il ransomware colpisce una vittima, il desiderio finale è quello di essere in grado di decodificare quei file e ripristinare l'ultimo set di dati coerente.
“Esistono molti modi per combattere il crimine informatico, ma quello che facciamo in Yoroi è l'analisi del malware e la risposta agli incidenti utilizzando tecnologie speciali e proprietarie.” - ha detto Marco Ramilli, Ceo di Yoroi - “Oggi abbiamo realizzato questo obbiettivo e vogliamo renderlo pubblico, per tutti coloro a cui serve un decryptor per LooCipher.”
Le caratteristiche tecniche di LooCipher sono descritte come segue:
• Il ransomware si diffonde usando un documento Word malevolo.
• Il Comando e Controllo è ospitato sulla rete TOR, al seguente indirizzo "hxxp://hcwyo5rfapkytajg[.]onion".
• Gli aggressori sfruttano servizi proxy Tor2Web per consentire facilmente l'accesso a Tor C2.
• Il codice binario può funzionare sia come criptor che come decodificatore.
• Il C2 genera dinamicamente un indirizzo Bitcoin diverso per ciascuna infezione.
Le ricerche di Fortinet hanno dedicato molto tempo alla descrizione dell'algoritmo utilizzato (AES-256-ECB) e hanno raffigurato un codice di decrittazione.
Il punto di svolta per la messa a punto del decrittatore era comprendere il modo in cui la chiave era codificata e, una volta recuperata la chiave offuscata, è stato possibile ricostruire quella originale per decrittare i file.
La chiave master è disponibile direttamente in memoria nei segmenti LooCipher. Yoroi Z-Lab ricorda di non “killare” il processo se infettati e di non riavviare la finestra di Windows. Se si blocca il processo o si riavvia il sistema, il decrypter di ZLab Team non potrà funzionare.
"In attesa di un tool che possa consentire l'eventuale recupero dei file cifrati anche post-infezione, ovvero anche dopo che il sistema sia stato fatto ripartire, abbiamo voluto rilasciare questo tool utile ad utenti ed amministratori che si confrontano col codice malevolo nelle prime fasi dell'infezione", ha affermato il CTO di Cybaze-Yoroi, Pierluigi Paganini.
È possibile scaricare QUI il decryptor e usarlo gratuitamente.