Un nuovo RaaS (ransomware as a service- scopri cosa sono) è in vendita sul Dark Web: si chiama FrozrLock, disponibile a solo 220 dollari. Viene pubblicizzato con la dicitura "Un ottimo tool che cripta la maggior parte dei file in pochi minuti". Lo segnala Bleeping Computer, in collaborazione con altri ricercatori: uno di questi ha individuato per la prima volta il ransonmware in diffusione di Russia attorno alla fine di Aprile. In quel caso il ransomware veniva diffuso tramite un downloader JS rinominato "Contract_432732593256.js".
Il portale di vendita.
FrozrLock è uno di quei ransomware che vengono messi in vendita da cyber-criminali nel Dark Web: gli interessati comprano il ransomware, lo personalizzano, lo diffondono infine versano una percentuale dei guadagni ottenuti dai riscatti ai programmatori del ransomware stesso.
Ecco qui una foto della homepage del portale di vendita.
Già da questa si evincono alcune caratteristiche del ransomware:
- è codificato in C#;
- cancella automaticamente il loader dopo aver infettato una vittima;
- non modifica le estensioni dei file che cripta;
- si auto cancella dopo che il pagamento è stato ricevuto;
- tutte le build dei ransomware sono offuscate sul server RasS e sono messe a disposizione per il download ai clienti;
- il Pannello di Coontrollo è Tor-based;
- i "clienti" dispongono di un numero infinito di rebuild ;
- usa vari tipi di criptazione: Twofish 256, AES256, RSA4096.
Come funziona il portale?I truffatori, per prima cosa, devono registrarsi al portale per ottenerne l'accesso. Una volta che hanno creato un account ottengono l'accesso all'interfaccia web-based del builder del ransomware. Per poter usare il builder e produrre un ransomware completamente funzionante, gli acquirenti dovranno comprare una licenza in bitcoin (come detto sopra 200 dollari circa, quindi 0.14 bitcoin).
E' addirittura presente un changelog professionale in cui viene registrata l'evoluzione del ransomware.
Il decriptatoreIl servizio fornisce ai clienti un decriptatore che questi possono inviare alle vittime che hanno pagato il riscatto. Il decrypter ha tre modalità operative: automatico, manuale e ibrido.
La nota di riscatto
Sotto è possibile vedere una nota di riscatto "base". Si può scegliere di richiedere tra gli 0,3 e gli 0,5 bitcoin.
Nessun commento:
Posta un commento