Gli esperti di Cyble Research and Intelligence Labs (CRIL) hanno scoperto tre nuove famiglie di ransomware, denominate AXLocker, Octocrypt e Alice Ransomware.

Il ransomware AXLocker può crittografare diversi tipi di file e renderli completamente inutilizzabili. Questo ransomware ruba i token Discord dalla macchina della vittima e li invia al server. Una volta che il ransomware ha crittografato i file, mostra una finestra pop-up che contiene una richiesta di riscatto con le istruzioni per ottenere lo strumento di decrittazione utilizzato per recuperare i file crittografati.

L’analisi del codice ha rivelato che la funzione startencryption()  implementa la capacità di cercare file enumerando le directory disponibili sull’unità C:\.

AXLocker prende di mira solo estensioni di file specifiche ed esclude un elenco di directory dal processo di crittografia. Il ransomware AXLocker utilizza l’algoritmo di crittografia AES per crittografare i file, a differenza di altri ransomware non modifica il nome o l’estensione dei file crittografati.

“Dopo aver crittografato i file della vittima, il ransomware raccoglie e invia informazioni sensibili come nome del computer, nome utente, indirizzo IP della macchina, UUID di sistema e token Discord a TA”, si legge nell’analisi pubblicata da Cyble.

Il secondo nuovo ceppo di ransomware scoperto da Cyble è Octocrypt, un ransomware che prende di mira tutte le versioni di Windows.

Il generatore, il crittografo e il decrittografo del ransomware sono scritti in Golang. Gli operatori dietro Octocrypt operano secondo il modello di business Ransomware-as-a-Service (RaaS) e sono emersi sui forum sui crimini informatici intorno all’ottobre 2022 offerto per 400 USD.

Il ransomware Octocrypt ha una semplice interfaccia web per costruire il crittografo e decrittografo, e il pannello web mostra anche i dettagli della vittima infetta.

“L’interfaccia di Octocrypt web panel builder consente agli assistenti tecnici di generare eseguibili binari ransomware inserendo opzioni come URL API, indirizzo crittografico, importo crittografico e indirizzo e-mail di contatto”, continua Cyble.

Il terzo ceppo di ransomware scoperto è soprannominato “Alice”, apparso anche sui forum di criminalità informatica nell’ambito del progetto TAs di “Alice nella terra del malware”.

Alice funziona anche con il modello di business Ransomware-as-a-Service (RaaS). Gli indicatori di compromissione di questo ceppo ransomware non sono disponibili in natura.

 

https://blog.cyble.com/2022/11/18/axlocker-octocrypt-and-alice-leading-a-new-wave-of-ransomware-campaigns/

https://securityaffairs.co/wordpress/138783/malware/octocrypt-alice-axlocker-ransomware.html

Twitter
Visit Us
LinkedIn
Share
YOUTUBE