Red Hot Cyber
Sicurezza Informatica, Notizie su Cybercrime e Analisi Vulnerabilità
Gli esperti di Cyble Research and Intelligence Labs (CRIL) hanno scoperto tre nuovi ceppi di ransomware: AXLocker, Octocrypt e Alice.
AXLocker crittografa i file delle vittime e ruba i token Discord dal computer infetto.
L’analisi del codice ha mostrato che utilizzando la funzione startencryption(), il malware cerca i file necessari ordinando le directory disponibili sull’unità C:\. AXLocker e prende di mira solo i file con un’estensione specifica ed esclude alcune directory dall’elenco dei file da crittografare.
Il malware utilizza l’algoritmo di crittografia AES per crittografare i file. A differenza di altri ransomware, non cambia il nome o l’estensione di quello crittografato.
Dopo aver crittografato i file necessari, AXLocker raccoglie e invia agli aggressori il seguente set di informazioni:
Il malware utilizza espressioni regolari per cercare i token Discord nei file di archiviazione locale e quindi li invia al server Discord degli aggressori insieme ad altre informazioni.
Al termine della crittografia dei dati e della raccolta delle informazioni, AXLocker visualizza una finestra contenente una nota con le istruzioni e la richiesta di contattare gli operatori.
La nota non specifica l’importo che la vittima deve pagare per la decrittazione dei propri dati.
Oltre ad AXLocker, i ricercatori di Cyble hanno scoperto anche altri due ransomware:
E anche se tutti i suddetti ransomware sono più rivolti agli utenti ordinari, gli esperti ritengono che possano rappresentare una minaccia anche per le grandi aziende.
