ORX Locker, ransomware in “franchising”

L’industria del cosiddetto “Ransomware As A Service” (RAAS) sta crescendo al punto che ogni qualche giorno escono nuove varianti di software come Cryptolocker che chiunque può “affittare”, personalizzare e diffondere per infettare vittime, criptare i loro documenti e chiedere un riscatto in bitcoin. Il tutto senza bisogno di possedere conoscenze informatiche.

Come già il trojan Tox (una variante di Cryptolocker identificata a maggio 2015) anche ORX Locker è un software che si può scaricare dal Dark Web e personalizzare per le proprie esigenze. Lo distribuisce un utente di un forum che si fa chiamare “orxteam”, probabilmente per identificare il suo team di sviluppo. Come già altri Ransomware as a Service visti nei mesi passati, permette di scegliere l’importo del riscatto e personalizzare un finto documento che poi si andrà a spedire a liste di contatti prese in rete, sperando che questi aprano e infettino i loro PC. Una volta aperto, questo finto documento cripterà i documenti presenti sul PC rinominandoli in “.LOCKED” e comunicando con il Command & Control tramite protocollo Tor. L’interfaccia di controllo permette di monitorare il rendimento del virus elaborando anche delle statistiche sulle infezioni e sui pagamenti del riscatto in bitcoin sul proprio wallet.

Il rischio del Ransomware-As-A-Service è che questo tipo di minacce diventino fin troppo facili da sfruttare, grazie a una sorta di “franchising” che permette anche a non esperti di creare una versione modificata del trojan e diffonderla, versando una percentuale di quanto ricavato tramite i ricatti al fornitore del servizio, cioè colui che “noleggia” il ransomware.

Invitiamo a leggere il report di Sensecy sul ransomware ORX Locker, che contiene diversi particolare tecnici interessanti, incluse le regole YARA per l’identificazione del payload.