Aggiornamenti recenti Aprile 1st, 2025 2:38 PM
partner
News Recenti
- Transparency Center Initiative di Kaspersky Lab: cosa significa per l’Italia
- Le vulnerabilità dei tool RMM aprono nuove opportunità ai cybercriminali
- Una campagna di phishing usa il DNS-over-HTTPS per eludere i controlli
- CERT-AGID 22-28 marzo: in vendita sul darkweb i documenti dello smishing a tema INPS
- SharePoint inondato dallo spam: la colpa è di un dominio Stream compromesso
- RedCurl passa al ransomware: scoperto il primo attacco con QWCrypt
I leak del codice dei ransomware favoriscono la diffusione di nuove varianti
I ransomware continuano a essere una delle minacce più diffuse al mondo. I gruppi di cybercriminali continuano a studiare nuove tecniche per accedere ai sistemi e passare inosservati, collaborano tra loro e si sciolgono e ricompongono continuamente per creare nuove comunità e rendere più difficile il lavoro delle autorità.
Secondo i ricercatori di Talos, a favorire la nascita di nuove e più agguerrite famiglie di ransomware ci sono anche i molteplici leak di codice sorgente, spesso intenzionali.
I primi leak sono stati individuati nel 2021, quando il codice di famiglie come Babuk, Conti, LockBit 3.0 e Chaos è stato condiviso nei forum del cybercrimine.
Credits: kaptn – Depositphotos
Generalmente lo sviluppo di un ransomware richiede una conoscenza approfondita della programmazione, ma la pubblicazione degli algoritmi dei malware ha permesso anche agli attaccanti meno esperti di sviluppare una propria variante in poco tempo; di fatto, anche i leak hanno contribuito alla democratizzazione del cybercrimine.
Oltre al codice, spesso i gruppi criminali condividono anche i builder dei ransomware, ovvero interfacce interattive che permettono di generare una nuova variante del malware in pochi passi.
Le nuovi varianti dei ransomware
Dall’inizio del 2023 i ricercatori hanno individuato molteplici nuove varianti dei ransomware più conosciuti; tra queste c’è MortalKombat, generata dal builder di Xorist e attiva da fine dicembre 2022, che prendeva di mira individui e piccole compagnie fingendosi un operatore di CoinPayments.
Più recentemente, i ricercatori di Talos hanno individuato alcuni attacchi riconducibili a RA Group che si basavano sul codice sorgente di Babuk, un ransomware russo emerso nel 2021. RA Group non è l’unico gruppo ransomware ad aver sfruttato il codice del malware russo: insieme a lui ci sono gli attori dietro ESXiArgs, Rorsach e RTM Locker.
A partire da giugno scorso, è emerso inoltre un nuovo attaccante, probabilmente di origini vietnamite, che usa una variante di Yashma per colpire vittime in diverse nazioni. Secondo i ricercatori, le note di riscatto lasciate dall’attaccante sono molto simili a quelle di WannaCry nel 2017.
Pixabay
Stando alla ricerca di Talos, i gruppi delle nuove varianti sembrano essere più “conservativi” e chiedono cifre minori per i riscatti rispetto a gruppi ransomware molto conosciuti, dai quali hanno ottenuto il codice del malware. È probabile che il loro scopo sia mettere alla prova la variante creata, cercando di non dare troppo nell’occhio.
La condivisione del codice sorgente dei ransomware è un problema molto sentito nella comunità dei ricercatori di sicurezza: non solo emergono sempre più varianti e in minor tempo, ma il fatto che condividano lo stesso codice sorgente rende più difficile l’analisi degli attacchi, col rischio di attribuire erroneamente una campagna a un determinato gruppo.
In questo caso, spiega Talos, la collaborazione tra i gruppi di sicurezza e la condivisione di informazioni è fondamentale per creare un quadro chiaro della situazione e bloccare le nuove varianti sul nascere.
Condividi l'articolo
Gli attaccanti sfruttano i tunnel Cloudflare per ottenere persistenza sui dispositivi
Un'estensione di Visual Studio Code consente di rubare le password di sistema
Articoli correlati
Altro in questa categoria
Approfondimenti
-
Le vulnerabilità dei tool RMM aprono nuove opportunità ai... Se da una parte i tool di Remote Monitoring and Management... -
Mimecast: con l’AI una nuova era per la Data Loss... Ogni nuova tecnologia porta con sé nuovi rischi. Nel caso... -
Penetration testing, una volta ogni tanto non basta più:... Il processo di penetration testing è ormai una pratica... -
Il ransomware Medusa ha colpito oltre 300 infrastrutture... Il bilancio delle vittime del ransomware Medusa è... -
Kaspersky avverte: email aziendali usate per account... Kaspersky lancia un segnale d’allarme: registrare account...
Minacce recenti
Off topic
-
L’IA generativa unifica le interfacce di gestione e... Con l’avvento dell’IA generativa... -
Cyberinsurance: misurare il rischio umano può... Negli ultimi anni sempre più aziende stanno sottoscrivendo... -
Il machine learning di Kaspersky aumenta la capacità di... Grazie al machine learning, il Global Research and Analysis... -
I vertici aziendali non sono del tutto pronti alle nuove... Il 2024 è l’anno delle nuove normative di sicurezza:... -
Più della meta delle aziende geo-distribuite ha problemi... Una delle sfide principali delle aziende distribuite sul...
Post recenti
-
Le vulnerabilità dei tool RMM aprono nuove opportunità ai... Se da una parte i tool di Remote Monitoring and...
-
Una campagna di phishing usa il DNS-over-HTTPS per eludere... I ricercatori di Infoblox hanno scoperto una nuova campagna... -
CERT-AGID 22-28 marzo: in vendita sul darkweb i documenti... Nel corso dell’ultima settimana, il CERT-AGID ha rilevato... -
SharePoint inondato dallo spam: la colpa è di un dominio... Un vecchio dominio di Microsoft Stream è stato compromesso... -
RedCurl passa al ransomware: scoperto il primo attacco con... RedCurl, gruppo hacker russo attivo almeno dal 2018 e...
Ransomware: la serie
No posts found.
