LockerGoga, un nuovo ransomware da tenere d’occhio

locker

La prima è stata Altran Technologies, importante azienda francese operante nel settore della consulenza in vari settori dell’ingegneria, che il 30 gennaio scorso diramò un comunicato in cui annunciava lo shut-down di tutta la loro rete allo scopo di proteggere i suoi clienti.

In quel momento, nemmeno i tecnici di Altran sono stati in grado di comprendere cosa avesse potuto causare questo attacco ransomware dall’effetto devastante per chi lo subisce.

Il 19 marzo, poi, è stato il turno della Norsk Hydro di Oslo, leader mondiale nella produzione di alluminio, che è stata obbligata a interrompere la produzione ed a vietare tassativamente l’accesso alla rete aziendale ai suoi dipendenti, affiggendo cartelli in tutte le sedi.

Il modo in cui opera questa variante di LockerGoga è quello classico dei ransomware: i file vengono criptati e, successivamente, viene chiesto di pagare un riscatto (in criptovaluta) per poter avere le chiavi di decodifica. Nel caso di Norsk Hydro, però, gli autori dell’attacco hanno disconnesso l’azienda dalla rete impedendo, quindi, la visualizzazione delle condizioni per il riscatto.

Per quanto riguarda l’origine e la diffusione del ransomware, sembra che gli hacker abbiano fatto passare per sicuri dei certificati digitali regolarmente rilasciati (e poi ovviamente revocati). La paura maggiore, adesso, è che coloro che hanno effettuato l’attacco siano in possesso di altri certificati rilasciati ma insicuri.

Questo tipo di ransomware attacca vari tipi di file, fra cui tutti quelli correlati al pacchetto Office ed anche i PDF, partendo da un file eseguibile. Durante la crittografia, LockerGoga aggiunge l’estensione .locked ai documenti (ad esempio, un file chiamato test.doc diventerà test.doc.locked). Una volta terminato il processo, verrà visualizzato il già citato documento con le condizioni per il rilascio, denominato README-NOW.txt, contenente due indirizzi mail (sempre diversi da un caso all’altro) ai quali riferirsi per avere tutte le istruzioni di pagamento. Per dimostrare che l’attacco è reale, gli sviluppatori di questo ransomware danno la possibilità di decriptare in modo gratuito una minima parte dei contenuti sotto il loro controllo, migliorando quindi le probabilità di essere presi sul serio e ricevere il pagamento.

file README-NOW.txt rilasciato da LockerGoga

Esempio del documento README-NOW.txt

Ma come difendersi? Secondo Vladimir Daschenko di KasperskyLab, Norsk Hydro ha fatto la scelta giusta quando ha deciso di non cedere al ricatto ed affidarsi ai propri sistemi di backup e ai piani di ripristino sapendo che poteva contare su risorse di valore, anche perché senza questo tipo di accorgimenti i danni subiti potevano essere veramente enormi sia dal punto di vista economico che da quello produttivo.

Il consiglio da seguire in questi casi, oltre a quello di dotarsi di un buon sistema di backup (come Acronis), è seguire le principali linee guida sulla cybersecurity delle quali abbiamo già parlato in precedenza.

Fonte: 1 2 3 4