Recentemente ho letto analisi delle minacce di Malwarebytes Labs per Sage Ransomware . Ho trovato interessante apprendere che, a quanto pare, oltre alle directory di sistema, è logico escludere dall'attacco percorsi per giochi come League of Legends e il percorso verso gli steamapps. L'articolo non specula sul perché questo è il caso, il che mi lascia curioso e speculare su me stesso. C'è qualche motivo evidente per cui i creatori del malware l'hanno fatto? O lo sto solo pensando troppo? È indicativo di un target demografico, vettore di attacco e / o metodo di consegna? L'unica ragione potenzialmente ovvia a cui posso pensare perché è stato fatto questo è di non interrompere un giocatore distratto, permettendo così al processo di continuare a funzionare in background meno probabilità di essere notato dall'utente. Tuttavia, ritengo che sia una spiegazione troppo semplice. Mi azzarderei a dire che l'utente medio del computer non riconoscerebbe i segni dell'infezione anche se non fossero immersi in qualche gioco o attività sul sistema. Come è intrinsecamente il caso con la stragrande maggioranza dei ransomware, il target demografico è in genere l'utente occasionale che ha meno probabilità di eseguire il backup dei propri dati rispetto a un utente esperto che potrebbe più facilmente notare i segni dell'infezione, il che rende questa spiegazione sembrare anche meno probabile. Considerare la maggior parte dei dati per molti giochi non è memorizzato localmente (con la maggior parte dei dati che vengono archiviati localmente anche nel cloud, come nel caso di Steam) e le chiavi di licenza sono spesso gestite da una piattaforma di distribuzione digitale, posso vedere perché sarebbe quasi inutile criptare quei file. * Ancora, mi azzarderei a criptare quei file che contribuirebbero ulteriormente al senso di invasione / vulnerabilità / perdita vissuta dalla vittima. Da un punto di vista dell'ingegneria sociale / psicologica, questo probabilmente aumenterebbe le probabilità che la vittima paghi il riscatto. Sto dando troppo credito al creatore? Una mossa come questa sembra una cosa molto deliberata da fare, il che mi lascia molto curioso come motivazione.
Riconoscere che il tentativo di determinare o accertare la reale motivazione dei programmatori di Sage per le loro decisioni di programmazione sarà più una questione di opinione e speculazione che di fatti, la mia domanda si riduce a due domande che ho riscontrato speculando:
- Quali versioni di Windows sono in genere indirizzate? È simile a come WannaCry si diffonde , indirizzando una vasta gamma di Sistemi operativi Windows? O era più focalizzato sui SO degli utenti domestici (ad esempio XP, Vista, 7) rispetto ai sistemi operativi commerciali (ad esempio Windows Server 2000, 2008)?
- In che cosa è stato diffuso / lasciato Sage? Come afferma l'articolo, "Molto spesso, Sage viene rilasciato dagli script di download distribuiti tramite e-mail di phishing." Tuttavia, poiché l'articolo afferma che una delle forme in cui è stato rilasciato era un file JavaScript autonomo, questo apre numerosi potenziali vettori di attacco. Sono curioso di sapere se qualcuno è a conoscenza di altri vettori di attacco che Sage ha usato, se non del tutto.
* Parlando principalmente di giochi solo online come League of Legends in cui le informazioni del profilo dell'utente sono archiviate online. Tuttavia, Sage esclude tutti i percorsi di steamapps, che è anche il luogo in cui sono salvate le informazioni di salvataggio per i giochi locali / giocatore singolo.
AGGIORNAMENTO: Giusto per chiarire, capisco perché sia logico cercare di impedire di crittografare file di basso valore e facilmente sostituibili. Tuttavia, ciò che trovo interessante è la metodologia utilizzata dai programmatori per ottenere questo risultato. Probabilmente, è possibile generare una lista nera specifica almeno un centinaio di directory in cui i dati di basso valore e i file vengono in genere archiviati per vari casi d'uso. Tuttavia, i codificatori hanno escluso solo percorsi di file molto specifici dalla crittografia. Non avrebbe più senso se il tuo obiettivo fosse quello di crittografare il maggior numero di dati il più possibile il più rapidamente possibile, per cercare di indirizzare la crittografia ai percorsi dei file in cui i dati più preziosi sono in genere archiviati? Ciò ridurrebbe il campo di applicazione dei file crittografati e aumenterebbe le possibilità di catturare qualcosa di abbastanza prezioso da motivare un utente a pagare il riscatto.