Aggiornamenti recenti Aprile 3rd, 2025 10:03 AM
partner
News Recenti
- Transparency Center Initiative di Kaspersky Lab: cosa significa per l’Italia
- Colt ha completato il trial di crittografia quantistica sulla propria rete ottica
- Corea del Nord: la minaccia cyber si espande in Europa grazie ai professionisti IT
- Le vulnerabilità dei tool RMM aprono nuove opportunità ai cybercriminali
- Una campagna di phishing usa il DNS-over-HTTPS per eludere i controlli
- CERT-AGID 22-28 marzo: in vendita sul darkweb i documenti dello smishing a tema INPS
Col trojan Rakhni i pirati devono solo scegliere: ransomware o miner?
Il malware decide in automatico se crittografare i file della vittima o installare un miner. Male che vada, sua il PC per diffondersi su altri computer…
Sappiamo benissimo che i pirati informatici agiscono solo sulla spinta del desiderio di guadagnare denaro. Negli ultimi mesi, infatti, abbiamo assistito a un cambio di strategia generalizzato: al posto di diffondere ransomware (che hanno garantito incassi record nel 2017) stanno sempre più spesso usando malware che installano sui PC infetti dei classici miner, software che usano la potenza di calcolo del computer per generare cripto-valute.
Gli autori della nuova variante di Rakhni, però, sono andati oltre e hanno a messo a punto uno schema che gli permette di ottimizzare i guadagni scegliendo caso per caso quale strategia adottare. Rakhni è un malware comparso per la prima volta nel 2013, che ora è stato “riveduto e corretto” per una nuova campagna di attacchi.
Come spiegano i ricercatori di Kaspersky in un dettagliato report, il trojan viene diffuso via email sotto forma di un falso PDF che contiene in realtà un file eseguibile. Una volta aperto, il file avvia una procedura d’installazione “camuffata” in modo da sembrare quella di un plugin di Adobe. Se la vittima acconsente all’esecuzione, compare un falso messaggio di errore (che giustifica la mancata apertura del PDF) mentre il trojan ha campo libero.
La tecnica di attacco non è particolarmente originale, ma a quanto pare è comunque efficace.
Ed è qui che le cose si fanno molto interessanti. Il malware, infatti, contiene diversi moduli e sceglie quale avviare a seconda delle caratteristiche del computer.
La sua prima opzione è quella di agire come ransomware avviando la crittografia dei file presenti sul disco fisso. Gli autori del trojan, però, hanno deciso di colpire solo le eventuali vittime che utilizzano già Bitcoin. Il malware, infatti, esegue come prima azione un controllo per verificare se esista la cartella predefinita per la memorizzazione dei dati relativi al wallet Bitcoin (%AppData%\Bitcoin) e avvia la crittazione dei dati solo se il controllo da esito positivo.
Difficile capire il perché di questa scelta, ma è logico supporre che i cyber-criminali preferiscano colpire solo chi ha già una certa familiarità con le cripto-valute e possa quindi pagare rapidamente il riscatto richiesto. La richiesta di pagamento viene copiata in ogni cartella crittografata ed è contenuta in un file chiamato MESSAGE.txt.
Nonostante gli avvertimenti contenuti nel messaggio dei pirati, che sconsigliano di usare strumenti di terze parti per cercare di recuperare i dati presi in ostaggio, i ricercatori fanno notare che i file possono essere decodificati utilizzando il tool gratuito messo a punto nell’ambito del progetto No More Ransom.
Se invece il disco fisso non contiene una cartella dedicata ai Bitcoin, Rakhni esegue un ulteriore controllo sulle caratteristiche del PC colpito, verificando in particolare il numero di processori logici disponibili. Se ce ne sono almeno due, il trojan installa un miner che sfrutta la potenza del PC per generare Monero e Dashcoin.
Se invece il computer non è appetibile per questo tipo di attività, Rakhni si “limita” ad avviare un terzo modulo che gli permette di diffondersi alle altre macchine collegate nella rete locale attraverso un vettore di attacco simile a quello di un worm.
Condividi l'articolo
Aggiornamento WordPress corregge una falla vecchia di sette mesi
La sicurezza parte dalle cose semplici!
Articoli correlati
Altro in questa categoria
Approfondimenti
-
Corea del Nord: la minaccia cyber si espande in Europa... La Corea del Nord sta incrementando le proprie attività... -
Le vulnerabilità dei tool RMM aprono nuove opportunità ai... Se da una parte i tool di Remote Monitoring and Management... -
Mimecast: con l’AI una nuova era per la Data Loss... Ogni nuova tecnologia porta con sé nuovi rischi. Nel caso... -
Penetration testing, una volta ogni tanto non basta più:... Il processo di penetration testing è ormai una pratica... -
Il ransomware Medusa ha colpito oltre 300 infrastrutture... Il bilancio delle vittime del ransomware Medusa è...
Minacce recenti
Off topic
-
L’IA generativa unifica le interfacce di gestione e... Con l’avvento dell’IA generativa... -
Cyberinsurance: misurare il rischio umano può... Negli ultimi anni sempre più aziende stanno sottoscrivendo... -
Il machine learning di Kaspersky aumenta la capacità di... Grazie al machine learning, il Global Research and Analysis... -
I vertici aziendali non sono del tutto pronti alle nuove... Il 2024 è l’anno delle nuove normative di sicurezza:... -
Più della meta delle aziende geo-distribuite ha problemi... Una delle sfide principali delle aziende distribuite sul...
Post recenti
-
Colt ha completato il trial di crittografia quantistica... Colt Technology Services ha annunciato di aver completato... -
Corea del Nord: la minaccia cyber si espande in Europa... La Corea del Nord sta incrementando le proprie attività...
-
Le vulnerabilità dei tool RMM aprono nuove opportunità ai... Se da una parte i tool di Remote Monitoring and...
-
Una campagna di phishing usa il DNS-over-HTTPS per eludere... I ricercatori di Infoblox hanno scoperto una nuova campagna... -
CERT-AGID 22-28 marzo: in vendita sul darkweb i documenti... Nel corso dell’ultima settimana, il CERT-AGID ha rilevato...
Ransomware: la serie
No posts found.
