WildFire Locker ritorna con un nuovo nome: Hades Locker

 

Proto: N011016. 

Con la presente Yoroi desidera comunicarLe che è stata recentemente identificata una nuova variante del ransomware WildFire Locker attivo principalmente nei mesi di Giugno e Luglio di questo anno.
Nel mese di agosto sono stati sequestrati i server utilizzati come centri di Comando e Controllo (C&C) per la diffusione del malware. 
I criminali che hanno sviluppato il Ransomware sono riusciti a sfuggire e sono rimasti nascosti, fino ad ora, perché in questi giorni è apparsa una nuova minaccia, Hades Locker, che è stato provato essere una nuova variante di WildFire Locker.

Non è ancora noto come Hades Locker venga distribuito, si sa però che utilizza una cifratura sicura (AES), pertanto non esistono attualmente strumenti in grado di recuperare gratuitamente i file delle sue vittime.

Il flusso di infezione del ransomware è il seguente:

  • Il ransomware si collega a http://ip-api.com/xml per recuperare l’indirizzo IP e la posizione geografica della vittima
  • Il ransomware raccoglie ed invia ad un server C&C alcune informazioni riguardanti la macchina infettata:
    • hwid (un codice identificativo generato per la vittima)
    • tracking ID (un codice di tracciamento probabilmente utilizzato per identificare la versione, attualmente sembra essere utilizzato sempre il valore 0002)
    • nome del computer
    • nome dell’utente
    • paese di origine
    • indirizzo IP
  • Il server C&C risponde riportando la password da utilizzare per la cifratura dei file
  • Il ransomware crea una nuova chiave di registro (HKCUSoftwareWow6232Node) in cui memorizza hwid e status, un valore che indica se la cifratura è stata completata (1) oppure è ancora in corso (0)
  • Il ransomware inserisce un link in “Avvio automatico” per garantire la propria persistenza
  • Il ransomware cancella le Shadow Copy dei file (Versioni precedenti)
  • Il ransomware inizia la cifratura dei file conservando i file che contengono nel loro percorso i seguenti termini:
    • $recycle.bin
    • program files
    • program files (x86)
    • system volume information
    • windows
  • Il ransomware sostituisce l’estensione dei file cifrati con “.~HL” seguito dai primi 5 caratteri della password ricevuta dal server C&C
  • Il ransomware inserisce in ogni cartella in cui ha cifrato dei file le istruzioni per il riscatto in 3 formati:
    • README_RECOVER_FILES_[hwid].html
    • README_RECOVER_FILES_[hwid].png
    • README_RECOVER_FILES_[hwid].txt


Figura 1: Istruzioni per il pagamento del riscatto (README_RECOVER_FILES_[hwid].png)


Figura 2: Pagina per il pagamento del riscatto

Yoroi suggerisce di mantenere alto il livello di guardia all’interno della vostra organizzazione, di dotare le vostre organizzazioni di strumenti di sicurezza perimetrali opportuni e moderni come Next Generation Firewall, Next Generation IPS e IDS, di monitorare attivamente lo stato di sicurezza degli asset aziendali attraverso servizi di monitoraggio come MATP (Managed Advanced Threat Protection).



Per avere un indice di minaccia in tempo reale si consiglia di visitare il seguente link: Yoroi Cyber Security Index