LockFile è una nuova famiglia di ransomware emersa nel luglio 2021 in seguito alla scoperta, nell’aprile 2021, delle vulnerabilità ProxyShell per violare gli obiettivi con server Microsoft Exchange locali senza patch, seguito da un attacco di inoltro PetitPotam NTLM per prendere il controllo del dominio.
I ricercatori di Sophos hanno scoperto ora che il ransomware LockFile sta utilizzando un nuovo metodo unico di “crittografia intermittente” per aggirare il comportamento e la protezione ransomware basata sulle statistiche.
Il ransomware LockFile crittografa ogni 16 byte di un file. La chiamiamo “crittografia intermittente” e questa è la prima volta che i ricercatori Sophos vedono questo approccio utilizzato. La crittografia intermittente aiuta il ransomware a eludere il rilevamento da parte di alcune soluzioni di protezione ransomware perché un documento crittografato sembra statisticamente molto simile all’originale non crittografato.
Come WastedLocker e Maze ransomware, LockFile ransomware utilizza input/output mappati in memoria (I/O) per crittografare un file, tecnica che consente al ransomware di crittografare in modo trasparente i documenti memorizzati nella cache e fa sì che il sistema operativo scriva i documenti crittografati, con un I/O del disco minimo che le tecnologie di rilevamento potrebbero rilevare.
Il ransomware non ha bisogno di connettersi a un centro di comando e controllo per comunicare, il che aiuta anche a mantenere le sue attività sotto il radar di rilevamento.
Inoltre, LockFile rinomina i documenti crittografati in minuscolo e aggiunge un’estensione di file .lockfile, e la sua richiesta di riscatto HTA sembra molto simile a quella di LockBit 2.0.
Nella sua richiesta di riscatto, LockFile chiede alle vittime di contattare un indirizzo e-mail specifico: contact@contipauper.com . Il nome di dominio utilizzato, “contipauper.com” sembra essere un riferimento dispregiativo al gruppo di ransomware concorrente Conti. Il nome di dominio sembra essere stato creato il 16 agosto 2021.
La caratteristica considerevole di questo ransomware non è il fatto che implementa la crittografia parziale, bensì che non crittografa i primi blocchi. LockFile, infatti, crittografa ogni altro 16 byte di un documento. Ciò significa che un documento di testo, ad esempio, rimane parzialmente leggibile.
Il vantaggio nell’adottare questo approccio è che la crittografia intermittente distorce l’analisi statistica e confonde alcune tecnologie di protezione.
