Gli esperti di Cyble Research and Intelligence Labs (CRIL) hanno scoperto tre nuove famiglie di ransomware, denominate AXLocker, Octocrypt e Alice Ransomware.
Il ransomware AXLocker può crittografare diversi tipi di file e renderli completamente inutilizzabili. Questo ransomware ruba i token Discord dalla macchina della vittima e li invia al server. Una volta che il ransomware ha crittografato i file, mostra una finestra pop-up che contiene una richiesta di riscatto con le istruzioni per ottenere lo strumento di decrittazione utilizzato per recuperare i file crittografati.
L’analisi del codice ha rivelato che la funzione startencryption() implementa la capacità di cercare file enumerando le directory disponibili sull’unità C:\.
AXLocker prende di mira solo estensioni di file specifiche ed esclude un elenco di directory dal processo di crittografia. Il ransomware AXLocker utilizza l’algoritmo di crittografia AES per crittografare i file, a differenza di altri ransomware non modifica il nome o l’estensione dei file crittografati.
“Dopo aver crittografato i file della vittima, il ransomware raccoglie e invia informazioni sensibili come nome del computer, nome utente, indirizzo IP della macchina, UUID di sistema e token Discord a TA”, si legge nell’analisi pubblicata da Cyble.
Il secondo nuovo ceppo di ransomware scoperto da Cyble è Octocrypt, un ransomware che prende di mira tutte le versioni di Windows.
Il generatore, il crittografo e il decrittografo del ransomware sono scritti in Golang. Gli operatori dietro Octocrypt operano secondo il modello di business Ransomware-as-a-Service (RaaS) e sono emersi sui forum sui crimini informatici intorno all’ottobre 2022 offerto per 400 USD.
Il ransomware Octocrypt ha una semplice interfaccia web per costruire il crittografo e decrittografo, e il pannello web mostra anche i dettagli della vittima infetta.
“L’interfaccia di Octocrypt web panel builder consente agli assistenti tecnici di generare eseguibili binari ransomware inserendo opzioni come URL API, indirizzo crittografico, importo crittografico e indirizzo e-mail di contatto”, continua Cyble.
Il terzo ceppo di ransomware scoperto è soprannominato “Alice”, apparso anche sui forum di criminalità informatica nell’ambito del progetto TAs di “Alice nella terra del malware”.
Alice funziona anche con il modello di business Ransomware-as-a-Service (RaaS). Gli indicatori di compromissione di questo ceppo ransomware non sono disponibili in natura.
https://securityaffairs.co/wordpress/138783/malware/octocrypt-alice-axlocker-ransomware.html