Locky fa marcia indietro riguardo la modalità offline

I ransomware tornano al loro iniziale approccio pratico. 

Locky

Locky ha fatto un passo indietro e non viene più eseguito solo in modalità offline: ransomware come Locky infatti stanno tornando ad includere le informazioni di comando e controllo (CnC) nelle loro configurazioni, determinando di conseguenza un netto calo nel numero di ransomware che utilizzano solamente la modalità offline.

“Forse non ha funzionato bene come si aspettavano, oppure erano semplicemente troppo curiosi di conoscere il numero delle infezioni provocate”, ha affermato Moritz Kroll, esperto di malware presso l’Avira Protection Lab.

La diffusione di una configurazione di Locky che non richiede una connessione CnC è un’arma a doppio taglio per i criminali informatici. Da un lato, non fornendo informazioni di tipo CnC, né indirizzo IP, la rete di Locky può rimanere nell’ombra, nascosta agli occhi delle forze dell’ordine e degli esperti di sicurezza. D’altra parte, ciò riduce il feedback che i criminali informatici possono raccogliere sull’efficacia delle singole campagne di distribuzione di Locky.

“A partire dal 16 settembre, il ransomware 13 è stato il primo a includere nuovamente le informazioni di tipo CnC nella configurazione, mentre i ransomware 1 e 3 utilizzavano ancora la modalità esclusivamente offline. Successivamente, il 19 settembre, i ransomware 1 e 5 hanno anch’essi riniziato ad inserire le informazioni CnC. Al momento, sembra che solo i ransomeware 3 e 21 stiano ancora seguendo il nuovo paradigma automatizzato”, ha spiegato Kroll.

Quando Locky attiva la modalità automatica, gli elementi di comunicazione di rete vengono disattivati, consentendo al ransomware di crittografare i file della vittima senza indicazioni da parte dei centri di comando e controllo e di nascondersi più efficacemente dagli esperti in sicurezza.