Il ransomware Magniber prende il testimone di Cerber

Ott 19, 2017 Marco Schiaffino Malware, Minacce, News, Ransomware, RSS 0

Il nuovo malware viene diffuso tramite un exploit kit. I ricercatori, però, non escludono che possa essere scardinato. Parola d’ordine: non pagare!

Anche se la cronaca non ha registrato nuovi casi eclatanti come quello di WannaCry o di Petya (o NotPetya) il settore dei ransomware continua ad andare a gonfie vele e i pirati informatici non smettono di sfornare nuovi malware programmati per crittografare i dati delle vittime e chiedere un riscatto per il loro “rilascio”.

L’ultimo arrivato è stato battezzato con il nome di Magniber e in una prima fase sembra aver preso di mira in particolare la Corea del Sud. Come sappiamo, però, è probabile che sia solo questione di tempo prima che arrivi a insidiare i nostri computer anche in Europa e in Italia.

Perché Magniber? Il nome del ransomware è stato scelto da Michael Gillespie, che fa parte del gruppo di ricercatori che orbitano intorno a Bleeping Computer.

Secondo Gillespie, infatti, si tratterebbe di un ransomware derivato direttamente dal celebre Cerber e distribuito attraverso un exploit kit chiamato Magnitude. L’abbinata (Magnitude + Cerber = Magniber) ha ispirato i ricercatori per coniare il nome del ransomware.

Una definizione ripresa anche da Trend Micro, che in un report ha segnalato i rischi legati alla diffusione del nuovo malware.

Magniber, stando a quanto riportano i ricercatori, è un classico crypto-ransomware che riprende molte delle caratteristiche di Cerber. Prima di tutto per quanto riguarda i file che vengono presi di mira.

Il ransomware, infatti, evita di crittografare i file presenti in alcune posizioni sul disco fisso, esattamente come il suo predecessore. Inoltre, il sito a cui vengono indirizzate le vittime per il pagamento del riscatto somiglia moltissimo a quello di Cerber.

Il sito per il pagamento indicato da Magniber (a destra) è quasi identico a quello usato dal suo predecessore Cerber (a sinistra).

Il sito è nel circuito Tor e utilizza un sistema di indirizzamento piuttosto peculiare. Al posto di assegnare a ogni vittima un identificativo da usare al momento del pagamento, Magniber genera un indirizzo Internet al cui interno è inserito l’identificativo stesso.

Se alla vittima è stato assegnato l’ID ava10ib3t21s1xfc4p6, per esempio il sito Internet su cui verrà dirottata per il pagamento sarà http://ava10ib3t21s1xfc4p6.bankme.date/.

In alcuni indirizzi i ricercatori hanno notato la presenza di un altro ID, inserito alla fine dell’URL del tipo http://ava10ib3t21s1xfc4p6.bankme.date/EP866p5M93wDS513. L’ipotesi più probabile è che si tratti dell’identificativo di “affiliati” che distribuiscono il malware su Internet e che l’indirizzo abbia una sintassi del tipo http://ID_vittima.bname.date/ID_affiliato.

Si tratta di un “modello di business” ormai piuttosto comune, come lo è anche la previsione di un sistema per la decodifica gratuita di un singolo file a cui possono accedere le vittime, che i pirati mettono in piedi per dimostrare che sono in grado di recuperare i dati crittografati.

Chi avesse la sfortuna di finire vittima di Magniber, però, si guardi bene dal pagare il riscatto. Secondo i ricercatori è probabile che il sistema di crittografia del ransomware possa essere scardinato e che venga rilasciato uno strumento di decodifica gratuito.

Condividi l'articolo