NotLockBit: Analisi Tecnica di una Nuova Minaccia Ransomware Multi-Piattaforma

Il panorama delle minacce ransomware è in continua evoluzione, con attori sempre più sofisticati che si adattano alle nuove misure di sicurezza. Tra questi, NotLockBit emerge come una variante particolarmente insidiosa, ispirata al celebre ransomware LockBit.

Nonostante il nome possa suggerire una semplice imitazione, NotLockBit dimostra capacità avanzate e un livello di sofisticazione che lo rende una minaccia concreta sia per sistemi Windows che macOS. Scritto in Golang e distribuito come binario x86_64, NotLockBit è progettato per garantire compatibilità multipiattaforma e offrire resistenza all’analisi. La sua capacità di crittografare file mirati, esfiltrare dati e auto-eliminarsi lo distingue nel panorama attuale delle cyber minacce.

L’analisi di questo ransomware, unita all’immagine grafica dei collegamenti tra indicatori di compromissione (IoC) e campioni rilevati, fornisce una chiara visione delle sue varianti e della sua continua evoluzione.

Architettura Tecnica di NotLockBit

NotLockBit è un ransomware complesso e ben progettato, distribuito come eseguibile binario per architettura x86_64 scritto in Golang. La scelta di Go è strategica per gli attaccanti grazie alla sua capacità di creare codice compatibile con più piattaforme senza modifiche significative. Inoltre, il linguaggio offre una naturale resistenza all’analisi statica, poiché i binari risultano di grandi dimensioni e complicati da decifrare.

Catena di Infezione

La catena di infezione di NotLockBit si compone di cinque fasi principali: Initialization, Data Exfiltration, Data Encryption, Defacement, e Self-Deletion. Queste fasi delineano in dettaglio il processo con cui il ransomware compromette il sistema e raggiunge i suoi obiettivi malevoli.

Initialization

Dopo essere stato eseguito sul sistema della vittima, NotLockBit inizia la fase di inizializzazione con le seguenti azioni:

• Raccolta delle Informazioni di Sistema: Il malware raccoglie dettagli sul sistema operativo, hostname, informazioni hardware, elenco dei processi attivi e directory rilevanti. Questi dati vengono salvati temporaneamente in file di testo e successivamente utilizzati per personalizzare l’attacco e facilitare l’esfiltrazione.
• Generazione della Chiave di Crittografia: Viene generata una chiave AES casuale per cifrare i file. Questa chiave viene poi protetta con una chiave RSA pubblica integrata nel codice del malware.
• Preparazione per l’Esfiltrazione: NotLockBit configura le connessioni verso l’infrastruttura degli attaccanti, utilizzando credenziali AWS predefinite per il caricamento dei dati.

Data Exfiltration

Una volta completata l’inizializzazione, il ransomware procede alla fase di esfiltrazione dei dati. Utilizza le informazioni raccolte durante l’inizializzazione e le invia a un bucket Amazon S3 controllato dagli attaccanti. La connessione viene stabilita in modo da sembrare legittima, spesso tramite protocolli HTTPS, per evitare rilevazioni da parte dei sistemi di sicurezza. I dati esfiltrati possono includere:

• Informazioni di sistema dettagliate
• Elenchi di file
• Dati sensibili trovati sul dispositivo (documenti, database, file di configurazione)

L’uso di bucket S3 garantisce una rapida esfiltrazione e una gestione scalabile dei dati sottratti.

Data Encryption

Dopo l’esfiltrazione dei dati, NotLockBit avvia la fase di crittografia. Utilizzando l’algoritmo AES-256, il ransomware cifra specifici tipi di file, come documenti, immagini, archivi e database. Durante questa fase, il ransomware esegue diverse azioni mirate:

• Esclusione di Directory Sensibili: Evita di cifrare directory critiche del sistema operativo per garantire la continuità del funzionamento del sistema.
• File Targeting: Identifica file di valore sulla base di estensioni come .docx, .xlsx, .pdf, .zip, .db e altre comunemente utilizzate.
• Salvataggio delle Chiavi Crittografiche: La chiave AES utilizzata viene cifrata con una chiave RSA pubblica e aggiunta ai file criptati per garantire che solo gli attaccanti possano decrittare i dati.

I file crittografati vengono rinominati con un’estensione specifica legata a NotLockBit, e un file di riscatto viene inserito in ciascuna directory compromessa.

Defacement

Una volta completata la crittografia, NotLockBit modifica lo sfondo del desktop per visualizzare un messaggio di riscatto. Questo messaggio informa la vittima dell’avvenuta cifratura dei file e fornisce istruzioni dettagliate su come contattare gli attaccanti e pagare il riscatto. Il defacement serve non solo a comunicare con la vittima ma anche a esercitare pressione psicologica per spingerla a pagare rapidamente.

Il messaggio di defacement può includere:

• Informazioni di contatto (email, siti Onion sul dark web)
• L’importo richiesto per il riscatto
• Minacce di pubblicazione dei dati esfiltrati se il pagamento non viene effettuato

Self-Deletion

Per cancellare le proprie tracce e rendere più difficile l’analisi forense, NotLockBit esegue l’auto-eliminazione al termine delle sue operazioni. Questa fase viene realizzata tramite l’uso di script o comandi che eliminano il binario eseguibile e i file temporanei creati durante l’infezione. L’auto-eliminazione impedisce alle vittime o ai ricercatori di eseguire un’analisi approfondita del ransomware, rendendo più complessa la rilevazione degli IoC (Indicatori di Compromissione).

Analisi dei Campioni e Indicatori di Compromissione

L’immagine fornita, rappresentata di seguito, illustra visivamente la rete di relazioni tra il ransomware NotLockBit e i vari indicatori di compromissione (IoC) associati.

In questa rappresentazione grafica:

• Il Nodo Centrale rappresenta NotLockBit, da cui si diramano le diverse varianti del ransomware.
• Ogni nodo giallo indica un campione di NotLockBit individuato durante l’analisi. Questi campioni si differenziano per piccoli dettagli nel codice e nelle tecniche di offuscamento utilizzate.
• I nodi verdi rappresentano gli hash dei file correlati ai campioni di ransomware. Alcuni degli hash più rilevanti identificati sono:
  • a28af0684456c26da769a2e0d29c5a726e86388901370ddf15bd3b355597d564
  • aca17ec46730f5677d0d0a995b65054e97dcec65da699fac1765db1933c97c7ec
  • 14fe0071e76b23673569115042a961136ef057848ad44cf35d9f2ca86bd90d31
  • 2e62c9850f331799f1e4893698295db0069ab04529a6db1bfc4f193fe6aded2c
  • e02b3309c0b6a774a4d9403693e35a395b4c374dc3ea64410cc33b0dcd67ac

Le frecce indicano come ciascun campione sia collegato alla variante principale di NotLockBit e come ogni hash derivi da un’evoluzione del codice sorgente originario. Questa struttura evidenzia una continua attività di sviluppo da parte degli attaccanti, finalizzata a eludere i sistemi di difesa tramite aggiornamenti e modifiche frequenti al codice.

Tecniche di Offuscamento e Anti-Analisi

NotLockBit implementa diverse tecniche per complicare l’analisi e l’individuazione:

• Obfuscazione delle Stringhe: Le stringhe utilizzate dal ransomware sono cifrate e vengono deoffuscate solo durante l’esecuzione, rendendo difficile l’analisi statica del codice.
• Packing del Binario: Il payload può essere impacchettato con strumenti come UPX, nascondendo il codice originale all’interno di un formato compresso.
• Anti-Debugging: Il malware rileva se è in esecuzione in un ambiente di analisi (come sandbox o debugger) e interrompe l’esecuzione per evitare di rivelare il suo funzionamento completo.

NotLockBit rappresenta una minaccia ransomware avanzata, progettata per eludere le misure di sicurezza più comuni e adattarsi a diversi ambienti operativi. La capacità di colpire sia sistemi Windows che macOS, combinata con tecniche sofisticate di crittografia, esfiltrazione e offuscamento, lo rende particolarmente pericoloso. L’immagine dei collegamenti tra gli IoC evidenzia la natura dinamica di questa minaccia, mostrando come ogni campione rifletta un costante aggiornamento e miglioramento del codice malevolo.

Per proteggersi da ransomware come NotLockBit, è fondamentale implementare soluzioni avanzate di EDR (Endpoint Detection and Response), monitorare continuamente l’attività di rete e mantenere aggiornati i backup dei dati critici. Solo una strategia di sicurezza multilivello può mitigare il rischio rappresentato da queste nuove e pericolose minacce.

Ti è piaciuto questo articolo? Ne stiamo discutendo nella nostra Community su LinkedIn, Facebook e Instagram. Seguici anche su Google News, per ricevere aggiornamenti quotidiani sulla sicurezza informatica o Scrivici se desideri segnalarci notizie, approfondimenti o contributi da pubblicare.

Sandro Sana

Membro del gruppo di Red Hot Cyber Dark Lab e direttore del Red Hot Cyber PodCast. Si occupa d'Information Technology dal 1990 e di Cybersecurity dal 2014 (CEH - CIH - CISSP - CSIRT Manager - CTI Expert), relatore a SMAU 2017 e SMAU 2018, docente SMAU Academy & ITS, membro ISACA. Fa parte del Comitato Scientifico del Competence Center nazionale Cyber 4.0, dove contribuisce all’indirizzo strategico delle attività di ricerca, formazione e innovazione nella cybersecurity.

Aree di competenza: Cyber Threat Intelligence, NIS2, Governance & Compliance della Sicurezza, CSIRT & Crisis Management, Ricerca, Divulgazione e Cultura Cyber

Visita il sito web dell'autore