La finzione di Mr Robot diventa realtà con il nuovo Ransomware Fsociety
Comparsa nel darkweb una nuova variante del ransomware Fsociety Locker: Fsociety ALpha 1.0.
Il suo nome vi è familiare? Allora anche voi, come gli hacker che lo hanno elaborato, siete fan di Mr Robot, la serie televisiva statunitense che nel 2015 ha appassionato circa 3,09 milioni di spettatori. Protagonista della serie è infatti Fsociety, un gruppo di hacker mosso dalla volontà di smascherare i grandi corruttori e liberare l’umanità dai debiti con le banche.
Di cosa si tratta?
Il ransomware Fsociety non fa altro che criptare i files sulla macchina infetta e richiede denaro per la decriptazione. Il pagamento richiesto è pari a 5 bitcoins – attualmente 1 bitcoin equivale a circa 540 euro.
Il files target sono individuati specificatamente e sovrascritti con bytes criptati tramite l’algoritmo AES, una procedura di cifratura a blocchi.
Gli algoritmi di cifratura a blocchi operano su un gruppo di bit di lunghezza finita organizzati in un blocco; a differenza degli algoritmi a flusso che cifrano un singolo elemento alla volta, gli algoritmi come AES cifrano un blocco di elementi contemporaneamente.
Conoscendo l’algoritmo di cifratura e sfruttando il fatto che la chiave di codifica utilizzata è fissa siamo oggi in grado di decriptare i files infettati dall’attuale versione di Fsociety: è sufficiente individuare la chiave fissa e usarla per azionare un metodo di decriptazione per l’algoritmo AES.
L’azienda che ha coordinato le ricerce su questa nuova minaccia del web è Fortinet, azienda statunitense attiva nell’ambito della cyber security. Dai test è emerso che quella da loro analizzata è quasi sicuramente una versione preliminare, probabilmente gli hacker stanno testando il loro prodotto prima di distribuirlo su larga scala.
Gli aspetti che confermano questa tesi sono essenzialmente tre:
- la pagina di richiesta di riscatto risulta incompleta e alcune vittime non sono in grado di visualizzarla;
- alcune istruzioni nell’eseguibile del ransomware sembrano da finire, sono sostanzialmente presenti delle istruzioni che non vengono eseguite;
- le chiavi ad oggi individuate nei test sono troppo semplici – sicuramente non del calibro di una chiave che un hacker utilizzerebbe per un attacco effettivo.
Non sono poche le particolarità racchiuse in Fsociety, a partire dal linguaggio di programmazione con cui è stato implementato: Python. Rispetto ad altri linguaggi – come C++ o Java – programmare in Python è considerato piuttosto semplice, si tratta infatti di un linguaggio “ad alto livello” – ovvero progettato per essere facilmente comprensibile dagli esseri umani – e raramente utilizzato per questo tipo di malware.
Inoltre i ransomware che siamo abituati a combattere mostrano alle vittime istruzioni per acquistare un “decryptor” grazie al quale pulire i files infetti, Fsociety agisce diversamente: il codice del malware è dotato di una funzione che utilizza un browser per decriptare i files una volta pagato il riscatto. La funzione che avvia la decrittazione non risulta inserita all’interno del main – ovvero la function principale necessaria in ogni programma – e questo impedisce alla vittima di vedere le istruzioni che puliscono i files.
Le caratteristiche curiose di Fsociety non finiscono qui: il malware è in grado di attivare il download di un programma da un link ed eseguirlo localmente. L’eseguibile che viene scaricato potrebbe essere un tor client, ovvero una tecnica di anonimizzazione della comunicazione grazie alla quale Fsociety nasconde il suo traffico di rete – ad esempio il server verso cui viene inviato il pagamento del riscatto.
Cosa sarà in grado di fare la prossima versione di Fsociety?