Aggiornamenti recenti Novembre 21st, 2024 8:55 PM
Lug 29, 2016 Marco Schiaffino Attacchi, Leaks, Malware, News, RSS, Scenario 0
Il “mercato” dei ransomware fa gola a molti cyber-criminali e per assicurarsene una fetta maggiore molti di loro sono disposti a qualsiasi cosa. Anche sabotare un concorrente.
È quello che potrebbe essere successo martedì scorso in una vicenda che coinvolge alcuni tra i maggiori responsabili della diffusione di ransomware negli ultimi mesi. Secondo una ricostruzione fatta da alcuni ricercatori, tutto sarebbe cominciato qualche mese fa, quando alcuni pirati hanno messo le mani sul codice di Chimera, un ransomware molto diffuso in Germania.
Oltre a utilizzare una parte del codice per realizzare il ransomware Mischa, i cyber-criminali hanno ottenuto anche le chiavi crittografiche utilizzate da Chimera per codificare i file sui computer infetti. Martedì scorso hanno pubblicato le chiavi su Internet, avvisando le società antivirus con un tweet.
*
Una vera manna per le società di sicurezza, che hanno potuto scaricare circa 3.500 chiavi utilizzate dal ransomware. Una delle prime a realizzare uno strumento per recuperare i file cifrati da Chimera è stata Kaspersky, che ha integrato la funzione nella nuova versione del suo RakhniDecryptor sul suo sito.
Chimera, comparso a settembre dello scorso anno, è un ransomware piuttosto particolare. Oltre a cifrare i file e chiedere un riscatto per ottenere la chiave, minacciava le vittime lasciando intendere che in assenza del pagamento i file sarebbero stati pubblicati su Internet.
A quanto pare, l’azione di sabotaggio nei confronti di Chimera sarebbe stata compiuta da due gruppi affiliati tra loro: insieme agli autori di Mischa, infatti, avrebbero collaborato al leak anche i cyber-criminali che controllano il famigerato Petya. I ricercatori hanno notato da tempo che i due ransomware sembrano lavorare in tandem, utilizzando gli stessi sistemi di diffusione.
Mischa è un crypto-ransomware piuttosto tradizionale, che codifica i file e chiede il classico riscatto (in questo caso circa 875 dollari) per ottenere la chiave di decodifica. Petya, invece, agisce in maniera più distruttiva: punta addirittura al Master Boot Record, rendendo illeggibili tutti i file memorizzati sul disco.
Il ransomware, però, ha un difetto. L’eseguibile, infatti, richiede i privilegi di amministratore e visualizza, di conseguenza, la finestra di dialogo che richiede la conferma dell’utente per l’esecuzione del programma. Ebbene: nell’ultima versione di Petya, nel caso in cui l’autorizzazione sia negata, viene avviato il download e l’esecuzione di Mischa.
Tra i due gruppi, quindi, sembra esserci una vera partnership, che negli ultimi giorni potrebbe essersi evoluta in un’alleanza per contrastare i concorrenti di Chimera. Un’ipotesi alternativa, però, è quella che la pubblicazione delle chiavi sia semplicemente l’ultimo atto di una campagna ransomware ormai conclusa.
Chimera, infatti, non sarebbe più attivo dallo scorso novembre e i pirati potrebbero aver deciso di sciacquarsi la coscienza permettendo alle vittime che non hanno pagato il riscatto di recuperare i loro file.
Nov 19, 2024 0
Nov 11, 2024 0
Nov 11, 2024 0
Nov 06, 2024 0
Nov 21, 2024 0
Nov 21, 2024 0
Nov 20, 2024 0
Nov 18, 2024 0
Nov 21, 2024 0
Google ha annunciato di aver trovato 26 nuove...Nov 14, 2024 0
L’FBI ha lanciato un allarme: stando a un avviso...Nov 13, 2024 0
I ricercatori di Securonix hanno scoperto CRON#TRAP, una...Nov 12, 2024 0
Le minacce APT sono in aumento e in molti casi stanno...Nov 11, 2024 0
Kaspersky ha collaborato a Synergia II, operazione...Ott 09, 2024 0
Negli ultimi anni sempre più aziende stanno sottoscrivendo...Ott 02, 2024 0
Grazie al machine learning, il Global Research and Analysis...Set 30, 2024 0
Il 2024 è l’anno delle nuove normative di sicurezza:...Mag 21, 2024 0
Una delle sfide principali delle aziende distribuite sul...Mag 08, 2024 0
L’ultimo non è stato un buon anno per Microsoft:...Nov 21, 2024 0
Playlist e podcast sono l’esca ideale per attirare ignari...Nov 21, 2024 0
Google ha annunciato di aver trovato 26 nuove...Nov 20, 2024 0
Una campagna di spionaggio a opera di hacker cinesi ha...Nov 19, 2024 0
I ricercatori di Sekoia hanno individuato una nuova...Nov 18, 2024 0
István Márton, ricercatore di Wordfence, ha individuato...