Locky Ransomware: proteggiti dalle minacce via e-mail

Il ransomware Locky è apparso nel 2016 ed è diventato rapidamente una minaccia importante. Crittografava i file sul computer della vittima e poi richiedeva un pagamento in Bitcoin per sbloccarli. Anche se Locky ha quasi dieci anni, è ancora importante capire come funziona. Le varianti sono ancora in circolazione, le vecchie infezioni possono rimanere sui sistemi e i trucchi di phishing che ha introdotto sono ancora utilizzati dai gruppi di ransomware odierni.

Ciò che rende Locky particolarmente pericoloso è il suo legame con il gruppo criminale informatico responsabile del trojan bancario Dridex (noto anche come Evil Corp o TA505) e la sua massiccia diffusione attraverso la botnet Necurs. Al suo apice, il ransomware Locky ha infettato migliaia di organizzazioni in tutto il mondo, causando gravi perdite di dati e interruzioni di servizio per ospedali, banche e piccole imprese.

Sebbene il panorama della sicurezza delle e-mail si sia evoluto al giorno d'oggi, le tattiche utilizzate da Locky, tra cui indirizzi mittenti contraffatti, allegati dannosi e ingegneria sociale, rimangono fondamentali per gli attacchi ransomware. Una solida controlli di sicurezza delle e-mail e protocolli di autenticazione sono difese di prima linea essenziali contro queste minacce.

Che cos'è Locky Ransomware?

Locky ransomware è un tipo di crypto-ransomware che crittografa i file sui sistemi infetti, rendendoli inaccessibili fino al pagamento di un riscatto. A differenza dei malware che rubano dati, Locky si concentra esclusivamente sulla crittografia dei file, utilizzando potenti algoritmi crittografici per bloccare documenti, immagini, database e backup.

Una volta completata la crittografia, Locky richiede un pagamento in Bitcoin, solitamente compreso tra 0,5 e 1 BTC, e fornisce un portale di pagamento basato su Tor dove le vittime possono presumibilmente acquistare le chiavi di decrittografia. Tuttavia, il pagamento del riscatto non offre alcuna garanzia di recupero dei file e gli esperti di sicurezza lo sconsigliano unanimemente.

Le organizzazioni sanitarie erano tra gli obiettivi principali di Locky, con ospedali, studi medici e sistemi sanitari che hanno subito gravi interruzioni. Tra i casi più noti vi è quello dell'Hollywood Presbyterian Medical Center, che ha pagato 17.000 dollari in Bitcoin dopo un'infezione da Locky nel febbraio 2016. Il ransomware non fa distinzioni in base alle dimensioni dell'organizzazione, poiché le piccole imprese con risorse limitate in materia di sicurezza informatica si sono dimostrate vulnerabili quanto le grandi aziende.

Locky utilizza diverse tecniche di evasione sofisticate, tra cui payload JavaScript offuscati, indirizzi di server di comando e controllo dinamici e rilasci rapidi di varianti per aggirare il rilevamento basato sulle firme. Questi metodi gli hanno permesso di rimanere efficace anche quando i fornitori di sicurezza hanno aggiornato le loro difese.

Varianti importanti

Locky si è rapidamente sviluppato in molte varianti, ciascuna delle quali è stata creata per evitare il rilevamento e raggiungere un numero maggiore di vittime. Queste versioni sono identificabili principalmente dalle estensioni dei file che lasciano dietro di sé:

• .locky – Variante originale lanciata nel febbraio 2016
• .zepto – Rilasciato nel giugno 2016 con funzionalità anti-analisi migliorate
• .odin – Variante ottobre 2016 che utilizza la crittografia RSA e AES
• .thor – Novembre 2016 con offuscamento migliorato
• .osiris – Dicembre 2016 con infrastruttura C2 aggiornata
• .aesir – Variante dell'inizio del 2017 con routine di crittografia più veloci
• .lukitus – Variante Resurgence del 2017 distribuita tramite fatture false

Ogni variante introduceva sottili modifiche per eludere il rilevamento antivirus basato sulle firme, pur mantenendo i meccanismi fondamentali di infezione e crittografia. Il ciclo di rilascio rapido (a volte settimanale) rendeva difficile per i fornitori di soluzioni di sicurezza stare al passo con i nuovi campioni.

Come funziona Locky Ransomware

Comprendere il ciclo di vita dell'infezione di Locky aiuta le organizzazioni a costruire difese efficaci in ogni fase della catena di attacco.

1. Consegna

Locky arriva tramite massicce campagne di spam dannoso progettate per sembrare comunicazioni commerciali legittime. Queste e-mail si presentano come fatture, notifiche di pagamento, ricevute di consegna o conferme d'ordine provenienti da marchi noti.

Gli allegati includono in genere documenti Word (.doc, .docm), fogli di calcolo Excel (.xls, .xlsm) o archivi ZIP contenenti file JavaScript (.js) o Visual Basic Script (.vbs). La botnet Necurs ha distribuito milioni di queste e-mail al culmine dell'attività di Locky, con i ricercatori di sicurezza che hanno osservato campagne che hanno raggiunto centinaia di milioni di messaggi, sovraccaricando i i filtri antispam con il loro volume.

Gli aggressori hanno utilizzato lo spoofing delle e-mail per falsificare l'indirizzo del mittente, facendo sembrare che i messaggi provenissero da contatti affidabili. Senza adeguati protocolli di autenticazione delle e-mail come SPF, DKIM e DMARC, i destinatari non avevano alcun modo affidabile per verificare l'autenticità dei messaggi.

2. Abilitazione macro

Quando le vittime aprono il file dannoso, vedono un testo illeggibile e un messaggio che dice loro di "Abilita le macro per visualizzare il contenuto" o "Abilita la modifica per visualizzare il documento".

Questo trucco di ingegneria sociale sfrutta la fiducia degli utenti e il loro desiderio di visualizzare quelle che sembrano essere informazioni aziendali importanti. Microsoft Office disabilita le macro per impostazione predefinita per motivi di sicurezza, ma gli operatori di Locky hanno creato esche convincenti per indurre gli utenti ad abilitarle manualmente.

Nel momento in cui le macro vengono abilitate, gli script incorporati vengono eseguiti silenziosamente in background (spesso in pochi millisecondi) prima che gli utenti si rendano conto che qualcosa non va.

3. Download di malware

Quando le macro sono abilitate, lo script si collega a un server di comando e controllo (C2) e scarica il vero ransomware Locky. Questo metodo in due fasi aiuta gli aggressori a evitare il rilevamento perché l'allegato e-mail contiene solo un piccolo downloader, non il ransomware completo.

Gli indirizzi dei server C2 cambiano spesso, a volte ogni ora, rendendo difficile il loro blocco da parte degli strumenti di sicurezza. Gli sviluppatori di Locky hanno utilizzato algoritmi di generazione di domini (DGA) per creare centinaia di potenziali domini C2, assicurandosi che, anche se alcuni venivano bloccati, altri rimanessero accessibili.

4. Crittografia

Dopo il download, Locky inizia immediatamente a crittografare i file utilizzando una combinazione di RSA-2048 (per la crittografia delle chiavi) e AES-128 (per la crittografia dei file). Questo approccio ibrido garantisce che i file non possano essere decrittografati senza la chiave privata dell'autore dell'attacco.

Locky prende di mira vari tipi di file, tra cui documenti (.doc, .pdf, .txt), immagini (.jpg, .png), database (.sql, .mdb), codice sorgente (.php, .java) e backup (.bak). Crittografa non solo le unità locali, ma anche le condivisioni di rete mappate e i dispositivi di archiviazione esterni collegati.

Una volta crittografati, i file vengono rinominati con identificatori univoci ed estensioni specifiche per ciascuna variante. Ad esempio, document.docx potrebbe diventare A4B2C8D1-E5F6-7890-1234-56789ABCDEF0.locky, rendendo impossibile identificare i nomi dei file originali senza la chiave di decrittografia.

5. Richiesta di riscatto

Una volta completata la crittografia, Locky invia la richiesta di riscatto in diverse posizioni: sotto forma di file di testo denominati _Locky_recover_instructions.txt in ogni cartella interessata e come sfondo del desktop. La richiesta contiene le istruzioni per accedere a un portale di pagamento basato su Tor dove le vittime possono presumibilmente acquistare le chiavi di decrittazione.

La pagina di pagamento di solito mostra un conto alla rovescia, spesso di 72 ore, e avverte che il prezzo aumenterà o che i file potrebbero andare persi se la vittima aspetta troppo a lungo. Questo crea una falsa urgenza e spinge le persone a pagare prima di chiedere aiuto agli esperti di sicurezza.

Come prevenire il ransomware Locky

La prevenzione è l'unica difesa affidabile contro Locky. La maggior parte delle varianti non dispone di decryptor pubblici, il che significa che i file crittografati vanno persi definitivamente senza backup o senza pagare il riscatto.

Individuare Locky tempestivamente è difficile perché le versioni più recenti funzionano rapidamente e nascondono il proprio codice per eludere i tradizionali strumenti di rilevamento. Ciò rende la prevenzione molto più importante rispetto al tentativo di individuarlo dopo che è già in esecuzione.

Ecco alcune misure preventive fondamentali:

• Implementa i protocolli di autenticazione e-mail: Implementa SPF, DKIM e DMARC per bloccare lo spam contraffatto prima che raggiunga le caselle di posta. PowerDMARC offre configurazione automatizzata, report leggibili e avvisi di minaccia in tempo reale per rendere l'autenticazione accessibile alle organizzazioni di qualsiasi dimensione.
• Abilita il filtro antispam avanzato: Utilizza gateway di posta elettronica sicuri con sandboxing degli allegati, riscrittura dei link e analisi comportamentale per intercettare le e-mail dannose che aggirano i controlli di autenticazione.
• Disattiva le macro per impostazione predefinita: Configura Microsoft Office in modo da disabilitare le macro nei file provenienti da Internet e richiedere firme digitali per le macro attendibili.
• Eseguire regolarmente gli aggiornamenti: Mantenete aggiornati i sistemi operativi, le applicazioni e i software di sicurezza con gli ultimi aggiornamenti per chiudere le vulnerabilità note.
• Formare il personale sulla consapevolezza del phishing: Fornire una formazione regolare sulla sicurezza affinché i dipendenti imparino a individuare le e-mail sospette, evitare allegati inaspettati e non abilitare mai le macro nei documenti che non si aspettavano.
• Mantenere backup offline: Effettuare backup regolari e scollegati dei dati critici seguendo la regola 3-2-1 (tre copie, due tipi di supporto, uno fuori sede).
• Implementare la protezione degli endpoint: Utilizza soluzioni anti-malware affidabili con analisi comportamentale, rilevamento specifico del ransomware e funzionalità di riparazione automatica.

Locky è fondamentalmente un vettore di attacco veicolato tramite e-mail. Le organizzazioni che implementano un'autenticazione e-mail forte con strumenti come DMARC Checker di PowerDMARC DMARC Checker, SPF Record Checkere DKIM Checker possono convalidare la loro configurazione di autenticazione e ridurre significativamente l'esposizione a campagne di malspam contraffatte.

Come rimuovere Locky se sei già stato infettato

Se sospetti un'infezione da Locky, un intervento immediato può prevenire ulteriori danni e impedirne la diffusione ad altri dispositivi. Segui attentamente questi passaggi:

1. Isolare immediatamente il sistema infetto:scollegarlo dalla rete (scollegare il cavo Ethernet e disattivare il Wi-Fi) per impedire a Locky di raggiungere le unità condivise o diffondersi ad altri dispositivi.
2. Scollegare le unità di archiviazione esterne: Rimuovere tutte le unità USB, i dischi rigidi esterni e le condivisioni di rete mappate per proteggere i dati di backup dalla crittografia.
3. Utilizza un dispositivo pulito per gli strumenti di ripristino:scarica un software anti-malware affidabile (Malwarebytes, Kaspersky Rescue Disk o simili) da un computer non infetto e trasferiscilo tramite un'unità USB pulita.
4. Avvio in modalità provvisoria:riavviare il sistema infetto in modalità provvisoria con rete per impedire a Locky di caricarsi all'avvio.
5. Esegui una scansione completa del sistema:esegui scansioni anti-malware complete per rilevare e rimuovere i file eseguibili, i processi e le voci di registro di Locky.
6. Non pagare il riscatto:pagare il riscatto finanzia le attività criminali e non offre alcuna garanzia di recupero dei file. Molte vittime che hanno pagato non hanno mai ricevuto chiavi di decrittazione funzionanti.

Chiarimento importante: La rimozione di Locky blocca l'ulteriore crittografia e impedisce la diffusione ad altri sistemi, ma non non decripta i file già crittografati. Il recupero dei file richiede backup sicuri o la chiave di decrittografia privata dell'aggressore (che raramente viene fornita anche dopo il pagamento).

Come ripristinare i sistemi dopo un attacco Locky

Il ripristino del sistema dopo un attacco Locky dipende interamente dalla disponibilità di backup sicuri e verificati. La maggior parte delle varianti di Locky utilizza una crittografia inviolabile, nel qual caso, senza backup, i file crittografati vanno persi definitivamente.

Le organizzazioni dovrebbero seguire un processo di ripristino strutturato per riprendersi da un attacco ransomware:

1. Verifica dell'integrità del backup: Prima di eseguire il ripristino, verificare che i backup siano completi, integri e privi di ransomware (eseguire prima un ripristino di prova su un sistema isolato).
2. Ripristino da backup offline: Utilizza il backup pulito più recente eseguito prima che si verificasse l'infezione. Dai la priorità ai dati e ai sistemi mission-critical.
3. Ricostruisci i computer compromessi: Per i sistemi gravemente infetti, la reinstallazione completa del sistema operativo può essere più sicura rispetto al tentativo di pulire le installazioni esistenti.
4. Reimposta tutte le credenziali: Modifica le password di tutti gli account utente, gli account di servizio e le credenziali amministrative. Verifica la presenza di tentativi di accesso non autorizzati o indicatori di movimento laterale.
5. Implementare politiche di sicurezza avanzate: prima di riportare i sistemi online, rafforzare le difese per prevenire nuove infezioni. Ciò include l'autenticazione delle e-mail, la protezione degli endpoint e la segmentazione della rete.
6. Verifica della sicurezza delle e-mail: Rivedere e migliorare i controlli di autenticazione delle e-mail. Assicurarsi che SPF, DKIM e DMARC siano configurati correttamente per impedire che le e-mail di malspam contraffatte raggiungano nuovamente gli utenti.

La stragrande maggioranza delle varianti di Locky non dispone di decryptor pubblici. I ricercatori di sicurezza rilasciano occasionalmente strumenti di decrittografia gratuiti per le vecchie varianti di ransomware, ma la crittografia di Locky rimane inviolata per la maggior parte delle varianti. Le strategie di prevenzione e backup sono le uniche difese affidabili.

La roadmap di Locky per una maggiore sicurezza

Il ransomware Locky rimane un esempio significativo per comprendere l'evoluzione dei ransomware e l'importanza di una sicurezza multilivello. Le grandi epidemie di Locky sono diminuite dal 2017, ma le tattiche introdotte, come la distribuzione massiccia di malspam, il social engineering tramite documenti con macro abilitate e la crittografia aggressiva dei file, continuano a influenzare le moderne famiglie di ransomware.

La lezione fondamentale che ci ha insegnato Locky è chiara: la prevenzione attraverso una solida sicurezza della posta elettronica combinata con la vigilanza degli utenti è la difesa più efficace. Le organizzazioni non possono fare affidamento sul rilevamento del ransomware dopo l'infezione, poiché a quel punto i file critici potrebbero essere già stati crittografati.

Gli strumenti di sicurezza odierni sono molto più efficaci nel bloccare gli attacchi basati sulle e-mail. Una corretta configurazione di DMARC, SPF e DKIM può bloccare le e-mail contraffatte utilizzate per diffondere ransomware come Locky. L'intelligence sulle minacce basata sull'intelligenza artificiale, il rilevamento basato sul comportamento e una solida protezione degli endpoint aggiungono ulteriori livelli di difesa.

PowerDMARC aiuta le organizzazioni a costruire questa fondamentale prima linea di difesa con l'implementazione automatizzata del DMARC, avvisi in tempo reale sulle minacce e supporto da parte di esperti. La nostra piattaforma rende l'autenticazione delle e-mail accessibile alle aziende di qualsiasi dimensione, proteggendole dallo spoofing, e-mail di phishinge ransomware prima che le minacce raggiungano le caselle di posta degli utenti.

Prenota una demo DMARC per scoprire come PowerDMARC può proteggere i tuoi domini da ransomware e altre minacce basate sulle e-mail.

Domande frequenti (FAQ)

Come decriptare il ransomware Locky?

La maggior parte delle varianti di Locky utilizza una crittografia RSA-2048 inviolabile senza decodificatori pubblici disponibili. L'unico metodo di recupero affidabile è il ripristino da backup puliti e offline.

Come si diffonde il ransomware Locky su un dispositivo?

Locky si diffonde quando gli utenti aprono allegati e-mail dannosi e abilitano le macro, che scaricano il file eseguibile del ransomware che crittografa i file presenti sulle unità locali e sulle condivisioni di rete accessibili.

Come posso riconoscere ed evitare gli attacchi ransomware?

Presta attenzione alle e-mail che contengono allegati inaspettati, come fatture a sorpresa o richieste di pagamento, e non abilitare mai le macro nei documenti che non ti aspettavi di ricevere. Verifica sempre che il mittente sia reale e utilizza e-mail crittografate ogni volta che puoi.

• Informazioni su
• Ultimi messaggi

Ayan Bhuiya

Shift Lead, esperto di sicurezza delle infrastrutture e delle e-mail presso PowerDMARC

Con oltre 13 anni di esperienza nella sicurezza informatica, Ayan Bhuiya è specializzato in infrastrutture, continuità aziendale, gestione del rischio e sicurezza delle e-mail. Attualmente ricopre il ruolo di Shift Lead presso PowerDMARC. Ha conseguito un diploma post-laurea in Networking e Sicurezza e vanta una comprovata esperienza nella conduzione di iniziative strategiche di sicurezza per mitigare le minacce e garantire la resilienza aziendale.

Ultimi messaggi di Ayan Bhuiya (vedi tutti)

• 6 modi in cui una violazione dei dati personali può minacciare la sicurezza della tua azienda - 1 aprile 2026
• Direttiva NIS2: cos’è, requisiti, scadenze e come conformarsi - 26 marzo 2026
• Essential Eight vs SMB 1001: un confronto completo per la moderna sicurezza informatica australiana - 12 febbraio 2026