FortiGuard Labs è a conoscenza di una segnalazione secondo cui il ransomware LokiLocker è dotato di funzionalità wiper integrata. Il ransomware prende di mira il sistema operativo Windows ed è in grado di cancellare tutti i file non di sistema e di sovrascrivere il Master Boot Record (MBR) se la vittima decide di non pagare il riscatto, lasciando inutilizzabile la macchina compromessa. Secondo il rapporto, la maggior parte delle vittime del ransomware LokiLocker si trova nell’Europa orientale e in Asia. Perché è importante? Questo è significativo perché il ransomware LokiLocker ha funzionalità di pulizia integrate che possono sovrascrivere l’MBR ed eliminare tutti i file non di sistema sulla macchina compromessa se la vittima non paga il riscatto in un lasso di tempo stabilito. La corretta sovrascrittura dell’MBR lascerà la macchina inutilizzabile. Cos’è LokiLocker Ransomware? LokiLocker è un ransomware .NET attivo dall’agosto 2021. Il ransomware crittografa i file sulle macchine compromesse e richiede un riscatto dalla vittima per recuperare la crittografia crittografata File. Il ransomware aggiunge un’estensione di file “.Loki” ai file crittografati. Lascia anche una richiesta di riscatto in un file Restore-My-Files.txt. Il malware è protetto con NETGuard, uno strumento open source per la protezione delle applicazioni .NET, nonché con KoiVM, un protettore di virtualizzazione per le applicazioni .NET. LokiLocker ha un file di configurazione integrato, che contiene informazioni come l’indirizzo e-mail dell’attaccante, nome della campagna o affiliato, indirizzo del server Command-and-Control (C2) e timeout del wiper. Il timeout del tergicristallo è impostato su 30 giorni per impostazione predefinita. Il valore indica al ransomware di attendere 30 giorni prima di eliminare i file non di sistema e di sovrascrivere il Master Boot Record (MBR) della macchina compromessa. La configurazione ha anche opzioni di esecuzione che controllano quali azioni il ransomware dovrebbe o non dovrebbe eseguire sulla macchina compromessa. Le opzioni di esecuzione includono non cancellare il sistema e l’MBR, non crittografare l’unità C e non eseguire la scansione e crittografare le condivisioni di rete. L’opzione di cancellazione è impostata su false per impostazione predefinita, tuttavia l’opzione può essere modificata dall’attaccante. Come viene distribuito LokiLocker Ransomware? Anche se l’attuale vettore di infezione è sconosciuto, le prime varianti di LokiLocker sono state distribuite tramite strumenti di hacking del brute-checker trojan. Secondo il rapporto pubblico, la maggior parte delle vittime del ransomware LokiLocker si trova nell’Europa orientale e in Asia. La telemetria di Fortinet indica che l’accesso al dominio C2 è stato maggiore dall’India, seguito da Canada, Cile e Turchia. Qual è lo stato della copertura?FortiGuard Labs fornisce la seguente copertura AV:W32/DelShad.GRG!tr.ransomW32/DelShad.GSE! tr.ransomW32/DelShad.GUJ!tr.ransomW32/Filecoder.AKJ!trW32/Generic.AC.171!trW32/PossibleThreatW32/Ramnit.AMSIL/Filecoder.AKJ!trMSIL/Filecoder.AKJ!tr.ransomMSIL/Filecoder_LokiLocker.D! trMSIL/Filecoder.4AF0!tr.ransomMSIL/Filecoder.64CF!tr.ransomPossibleThreatTutti gli IOC di rete noti sono bloccati dal client FortiGuard WebFiltering.
