A partire da marzo 2023, si è cominciato a diffondere online un nuovo e temibile ransomware denominato LostTrust. Nonostante questo agente malevolo sia stato scoperto diversi mesi fa, però, nel corso di settembre si è verificata un’impennata di casi.
Allo stato attuale, gli esperti hanno registrato 53 vittime riconosciute, sparse in tutto il mondo. Tra i casi registrati, ve ne sono alcune che hanno già visto la diffusione di dati privati, avvenuta in seguito al rifiuto di pagare il riscatto chiesto dai cybercriminali legati a tale operazione. Al momento sembra che LostTrust prenda di mira dispositivi Windows, anche se i ricercatori non escludano che possa anche agire in ambiente Linux.
Per i ricercatori, le attività di questo ransomware ricordano un altro “illustre collega”, ovvero MetaEncryptor. L’agente malevolo in questione, lanciato nell’agosto 2022, ha fatto registrare un numero molto contenuto di vittime (una dozzina) per poi scomparire nel nulla da luglio 2023.
Come agisce LostTrust e chi gestisce questo ransomware?
Perché questa somiglianza tra i due ransomware? Per il ricercatore di sicurezza informatica Stefano Favarato, il sito utilizzato dagli aggressori presenta un template e una biografia che risultano praticamente identici. Tutto ciò fa pensare che gli hacker dietro a tali operazioni siano gli stessi.
La conferma definitiva, a tal proposito, arriva dal sito BleepingComputer, che ha scoperto come i sistemi di crittografia dei due agenti malevoli sono praticamente identici.
LostTrust, una volta avviato, disabilita e interrompe numerosi servizi Windows per garantire che tutti i file possano essere crittografati, inclusi tutti i servizi contenenti le stringhe Firebird, MSSQL, SQL, Exchange, wsbex, postgresql, BACKP, tomcat, SBS e SharePoint.
Durante la crittografia dei file, il programma di crittografia aggiungerà l’estensione .losttrustencoded ai nomi dei file crittografati.
Le note di riscatto, proposte alla vittima attraverso il file !LostTrustEncoded.txt verranno create in ogni cartella del dispositivo, con gli autori delle minacce che si presentano come precedenti hacker white hat. Tuttavia, dopo essere stati mal pagati, hanno deciso di dedicarsi al crimine informatico.
Nel suddetto documento si legge “Il nostro team ha una vasta esperienza nel campo legale e nel cosiddetto white hat hacking. Tuttavia, i clienti di solito considerano le vulnerabilità rilevate come minori e mal pagate per i nostri servizi. Così abbiamo deciso di cambiare il nostro modello di business. Ora capisci quanto sia importante stanziare un buon budget per la sicurezza IT“.