Ransomware WastedLocker: passa inosservato grazie ad alcune caratteristiche di Windows

WastedLocker è il ransomware che è balzato di recente agli “onori” (si fa per dire) delle cronache per aver messo in ginocchio Garmin bloccandone di fatto tutte le principali attività, mettendo sotto scacco anche i database con i dati degli utenti e impedendo la regolare operatività di call center e servizi di assistenza via email: Garmin potrebbe aver pagato gli autori del ransomware: tanti indizi lo confermano.

La novità è che WastedLocker utilizza alcune risorse di Windows per passare inosservato alle principali soluzioni software per la sicurezza.

I software antiransomware provvedono a monitorare il file system rilevando tempestivamente le chiamate utilizzate dai componenti malevoli per crittografare i dati. Un apposito driver (“mini-filter“) provvede infatti a controllare in tempo reale le chiamate che interagiscono con il file system.
Quando il driver dovesse rilevare l’effettuazione di molte operazioni in sequenza da parte di un processo sconosciuto che comportano l’apertura del file, la scrittura e la chiusura dello stesso, il sistema di protezione basato sull’analisi comportamentale bloccherà le attività sospette neutralizzando il ransomware. Un modello, questo, che di fatto porta a sacrificare alcuni file scongiurando che l’intero disco venga cifrato da parte del componente malevolo.

Gli esperti di Sophos spiegano che il ransomware WastedLocker utilizza Windows Cache Manager per sottrarsi alle routine di rilevamento.
Per aumentare le prestazioni di Windows, i file di uso comune o i file specificati dalle singoli applicazioni vengono temporaneamente conservati e letti dalla cache del sistema operativo la quale, a sua volta, si appoggia alla memoria di sistema.
Quando un programma ha bisogno di accedere a un file, il sistema operativo controllerà se è nella cache e, in caso affermativo, lo caricherà da quell’area. Poiché i dati sono memorizzati nella cache, l’accesso al loro contenuto risulta ovviamente molto più rapido rispetto alla lettura da un’unità disco.

Per bypassare il rilevamento da parte delle soluzioni antiransomware, WastedLocker integra una routine che apre un file, lo legge da Windows Cache Manager e poi chiude il file originale.
Poiché i dati sono memorizzati in Windows Cache Manager, WastedLocker provvede a crittografare il contenuto del file memorizzato nella cache, piuttosto che il file memorizzato nel file system.

Il componente Windows Cache Manager lavora usando un processo di sistema: il software antiransomware, rilevando la scrittura dei dati crittografati da parte di un oggetto legittimo e conosciuto, non opporrà resistenza e, invece, l’utente si ritroverà ben presto con una copia cifrata dei suoi dati anche a livello di file system, su hard disk e unità SSD.

Mark Loman, Director of Engineering presso SurfRight, società a suo tempo acquisita da Sophos, ha spiegato che la loro tecnologia CryptoGuard è stata aggiornata per rilevare e bloccare attacchi come quello posto in essere dal ransomwre WastedLocker. “Il nuovo motore di difesa universale contro i ransomware – CryptoGuard – è adesso capace di bloccare il trucco basato sull’utilizzo di Windows Cache Manager“, ha dichiarato Loman.