Arriva ARCrypt: il nuovo ransomware dall'America Latina pronto a diffondersi in tutto il mondo. Ecco i dettagli

Un nuovo ransomware si sta diffondendo sul panorama internazionale, dopo aver inizialmente colpito alcune realtà sensibili dell'America Latina. Il suo nome è ARCrypter e dopo aver compromesso un'agenzia governativa cilena lo scorso agosto è riuscito ad infettare ad ottobre anche l'autorità nazionale Colombiana che si occupa di garantire la sicurezza alimentare.

Quando ARCrypter ha fatto capolino le prime volte, le analisi hanno mostrato come si trattasse di un ceppo completamente nuovo e non derivante da alcuna famiglia di ransomware già nota. Dopo le compromissioni avvenute in Cile e Colombia, i ricercatori di sicurezza di BlackBerry hanno individuato ARCrypter in Cina e Canada, e successivamente sono state riscontrate vittime anche in Francia, Germania e Stati Uniti d'America. 

Secondo le informazioni disponibili ARCrypt prende di mira sistemi Windows e Linux, e aggiunge l'estensione .cryp ai file che va a crittografare. Le richieste di riscatto che i ricercatori hanno potuto riscontrare fino ad ora arrivano fino a 5000 dollari.

Il messaggio di ARCrypt - Fonte: BlackBerry Blog

Attualmente non è ancora noto quale sia il vettore di attacco, anche se sono stati individuati due URL AnonFiles che vengono utilizzati per recuperare un archivio win.zip che a sua volta contiene un eseguibile win.exe: quest'ultimo è un dropper che contiene un file html in cui si trova la richiesta di riscatto, e un file .bin che può essere sbloccato da una password.

Se il file .bin viene sbloccato, va a creare una cartella casuale che ha lo scopo di accogliere il payload di seconda fase, che si occupa a sua volta di andare a modificare il registro di Windows per assicurarsi la persistenza nella macchina.

A questo punto iniziano le attività dannose: il malware va ad eliminare le copie shadow del volume su cui si trova così da impedire il ripristino dei dati, si assicura di avere a disposizione una connessione stabile modificando le impostazioni di rete e procede a crittografare tutti i file che incontra, escludendo però quelli con estensione .crypt, .sys, .exe, .ini, .blf, .tmp, .bat, .regtrans-ms, .log, .msi, .library-ms, .log.tmp e .ddl. Non solo: ARCrypt esclude dal suo operato anche i file presenti nelle cartelle "boot" e "Windows", allo scopo di evitare di rendere il sistema inservibile.

Il ransomware non sembra disporre di un sistema di esfiltrazione dei dati, quindi sembra possibile escludere al momento l'eventualità che i file crittografati vengano anche sottratti. Non è tuttavia da escludere, come già visto in molte altre occasioni, che il ransomware possa evolvere nel corso del tempo arricchendosi di nuove funzioni. Al momento non si conoscono dettagli sulla mano dietro ad ARCrypt, quale sia la sua origine o rapporti con altri gruppi ransomware.