I leak del codice dei ransomware favoriscono la diffusione di nuove varianti

Ago 18, 2023 Marina Londei Approfondimenti, Attacchi, Campagne malware, In evidenza, RSS 0

I ransomware continuano a essere una delle minacce più diffuse al mondo. I gruppi di cybercriminali continuano a studiare nuove tecniche per accedere ai sistemi e passare inosservati, collaborano tra loro e si sciolgono e ricompongono continuamente per creare nuove comunità e rendere più difficile il lavoro delle autorità.

Secondo i ricercatori di Talos, a favorire la nascita di nuove e più agguerrite famiglie di ransomware ci sono anche i molteplici leak di codice sorgente, spesso intenzionali.

I primi leak sono stati individuati nel 2021, quando il codice di famiglie come Babuk, Conti, LockBit 3.0 e Chaos è stato condiviso nei forum del cybercrimine.

Credits: kaptn – Depositphotos

Generalmente lo sviluppo di un ransomware richiede una conoscenza approfondita della programmazione, ma la pubblicazione degli algoritmi dei malware ha permesso anche agli attaccanti meno esperti di sviluppare una propria variante in poco tempo; di fatto, anche i leak hanno contribuito alla democratizzazione del cybercrimine.

Oltre al codice, spesso i gruppi criminali condividono anche i builder dei ransomware, ovvero interfacce interattive che permettono di generare una nuova variante del malware in pochi passi.

Le nuovi varianti dei ransomware

Dall’inizio del 2023 i ricercatori hanno individuato molteplici nuove varianti dei ransomware più conosciuti; tra queste c’è MortalKombat, generata dal builder di Xorist e attiva da fine dicembre 2022, che prendeva di mira individui e piccole compagnie fingendosi un operatore di CoinPayments.

Più recentemente, i ricercatori di Talos hanno individuato alcuni attacchi riconducibili a RA Group che si basavano sul codice sorgente di Babuk, un ransomware russo emerso nel 2021. RA Group non è l’unico gruppo ransomware ad aver sfruttato il codice del malware russo: insieme a lui ci sono gli attori dietro ESXiArgs, Rorsach e RTM Locker.

A partire da giugno scorso, è emerso inoltre un nuovo attaccante, probabilmente di origini vietnamite, che usa una variante di Yashma per colpire vittime in diverse nazioni. Secondo i ricercatori, le note di riscatto lasciate dall’attaccante sono molto simili a quelle di WannaCry nel 2017.

Pixabay

Stando alla ricerca di Talos, i gruppi delle nuove varianti sembrano essere più “conservativi” e chiedono cifre minori per i riscatti rispetto a gruppi ransomware molto conosciuti, dai quali hanno ottenuto il codice del malware. È probabile che il loro scopo sia mettere alla prova la variante creata, cercando di non dare troppo nell’occhio.

La condivisione del codice sorgente dei ransomware è un problema molto sentito nella comunità dei ricercatori di sicurezza: non solo emergono sempre più varianti e in minor tempo, ma il fatto che condividano lo stesso codice sorgente rende più difficile l’analisi degli attacchi, col rischio di attribuire erroneamente una campagna a un determinato gruppo.

In questo caso, spiega Talos, la collaborazione tra i gruppi di sicurezza e la condivisione di informazioni è fondamentale per creare un quadro chiaro della situazione e bloccare le nuove varianti sul nascere.

Condividi l'articolo

codice sorgente, cybercrimine, gruppo hacker, leak, Ransomware, Talos, variante ransomware

Gli attaccanti sfruttano i tunnel Cloudflare per ottenere persistenza sui dispositivi Un'estensione di Visual Studio Code consente di rubare le password di sistema