Cybercrime: LooCipher, il probabile erede di GandCrab, è stato battuto

Articolo di Francesco Bussoletti su Difesa&Sicurezza del 16/07/2019

Il ransomware LooCipher, probabile erede di GandCrab è stata sconfitto dall’italiana Yoroi-Cybaze. Gli specialisti del ZLab hanno sviluppato uno strumento gratis per decrittare i file bloccati dal malware del cybercrime

Il ransomware LooCipher, probabile erede di GandCrab, è stato sconfitto. Gli esperti di cyber security di Yoroi Z-Lab hanno sviluppato un decryptor, uno strumento che permette di recuperare gratis i file criptati dal malware. Le sue funzionalità, infatti, nonostante il nome sono piuttosto semplici. Però, il codice malevolo del cybercrime è in grado di lanciare campagne su larga scala, anche in Italia. LooCipher è infatti una famiglia di ransomware che si diffonde attraverso e-mail con documenti Office “armati” e che abusa dei servizi proxy di Clearnet-to-Tor per connettersi al suo Command and Control (C2), nascosto dietro i siti per l’anonimizzazione di TOR, The Onion Router. Per contrastare la minaccia cibernetica, all’inizio di luglio Yoroi Z-Lab ha diffuso un apporto sul malware, in quanto il vettore iniziale lasciava prefigurare una sua importante diffusione nei giorni successivi. Documento seguito da un’analisi di Fortinet, focalizzata sull’algoritmo di crittografia.

Quali sono le caratteristiche di LooCipher e come è stato battuto dagli esperti di cyber security

Secondo gli esperti di cyber security, LooCipher si diffonde usando un documento Word malevolo. Inoltre, il server di Comando e Controllo del ransomware è ospitato sulla rete TOR, all’indirizzo “hxxp://hcwyo5rfapkytajg[.]onion”. Il cybercrime sfrutta servizi proxy Tor2Web per consentire facilmente l’accesso al C2 e questo genera dinamicamente un indirizzo Bitcoin diverso per ciascuna infezione. Le ricerche di Fortinet hanno portato a un codice di decrittazione dell’algoritmo utilizzato (AES-256-ECB) nel malware. Ciò ha permesso a Yoroi-ZLab di mettere a punto il decryptor, dopo aver recuperato la chiave master (si trova direttamente in memoria nei segmenti LooCipher). Affinché funzioni, però, è necessario che il codice malevolo sia in esecuzione.

La vittoria sul malware è dovuta a tecnologie speciali e proprietarie

“Esistono molti modi per combattere il crimine informatico, ma quello che facciamo in Yoroi è l’analisi del malware e la risposta agli incidenti utilizzando tecnologie speciali e proprietarie – ha spiegato Marco Ramilli, Ceo di Yoroi ed esperto di cyber security -. Oggi abbiamo realizzato questo obiettivo e vogliamo renderlo pubblico, per tutti coloro a cui serve un decryptor per LooCipher”. “In attesa di un tool che possa consentire l’eventuale recupero dei file cifrati anche post-infezione, ovvero anche dopo che il sistema sia stato fatto ripartire, abbiamo voluto rilasciare questo tool utile ad utenti ed amministratori che si confrontano col codice malevolo nelle prime fasi dell’infezione”, ha aggiunto il CTO di Cybaze-Yoroi, Pierluigi Paganini.