ORX Locker, ransomware in “franchising”

ORX LockerL’industria del cosiddetto “Ransomware As A Service” (RAAS) sta crescendo al punto che ogni qualche giorno escono nuove varianti di software come Cryptolocker che chiunque può “affittare”, personalizzare e diffondere per infettare vittime, criptare i loro documenti e chiedere un riscatto in bitcoin. Il tutto senza bisogno di possedere conoscenze informatiche.

Come già il trojan Tox (una variante di Cryptolocker identificata a maggio 2015) anche ORX Locker è un software che si può scaricare dal Dark Web e personalizzare per le proprie esigenze. Lo distribuisce un utente di un forum che si fa chiamare “orxteam”, probabilmente per identificare il suo team di sviluppo. Come già altri Ransomware as a Service visti nei mesi passati, permette di scegliere l’importo del riscatto e personalizzare un finto documento che poi si andrà a spedire a liste di contatti prese in rete, sperando che questi aprano e infettino i loro PC. Una volta aperto, questo finto documento cripterà i documenti presenti sul PC rinominandoli in “.LOCKED” e comunicando con il Command & Control tramite protocollo Tor. L’interfaccia di controllo permette di monitorare il rendimento del virus elaborando anche delle statistiche sulle infezioni e sui pagamenti del riscatto in bitcoin sul proprio wallet.

Il rischio del Ransomware-As-A-Service è che questo tipo di minacce diventino fin troppo facili da sfruttare, grazie a una sorta di “franchising” che permette anche a non esperti di creare una versione modificata del trojan e diffonderla, versando una percentuale di quanto ricavato tramite i ricatti al fornitore del servizio, cioè colui che “noleggia” il ransomware.

Invitiamo a leggere il report di Sensecy sul ransomware ORX Locker, che contiene diversi particolare tecnici interessanti, incluse le regole YARA per l’identificazione del payload.

Lascia un commento

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *

Questo sito usa Akismet per ridurre lo spam. Scopri come i tuoi dati vengono elaborati.