Aggiornamenti recenti Marzo 28th, 2024 9:00 AM
Mar 15, 2017 Marco Schiaffino Malware, Minacce, News, Ransomware, RSS 0
Tra pirati informatici la lealtà è merce rara. L’ultimo esempio di “sgarro” operato nel mondo del cyber crimine è rappresentato dalla comparsa di quello che i ricercatori Kaspersky hanno battezzato con il nome di PetrWrap.
Si tratta di un ransomware che, secondo gli analisti, è stato derivato direttamente da Petya, una vecchia conoscenza del settore.
L’elemento interessante, però, è che stando a quanto dicono dalle parti di Kaspersky si tratterebbe di una versione “piratata” del celebre ransomware.
Petya è un crypto-ransomware che ha fatto parlare di sé a causa di una sua particolarità tecnica: il malware, infatti, attacca il settore MBR del disco fisso del PC, bloccando di fatto il sistema e chiedendo un riscatto in Bitcoin che la vittima deve pagare per ottenere il codice che consente di “sbloccare” il computer.
Questo, però, non è l’unico tratto distintivo di Petya. Il ransomware è stato uno dei primi ad adottare una strategia di diffusione basata sul concetto di “ransomware as a service”: i suoi autori, infatti, forniscono a chi lo desidera il binary del malware, affidandogli di fatto il compito di diffonderlo su Internet.
Sono invece gli autori a gestire la comunicazione con i server Command and Control e a incassare i proventi delle estorsioni. I “collaboratori” che si fanno carico di individuare e colpire le vittime vengono poi compensati con una percentuale sui riscatti che vengono pagati dalle vittime.
Nel caso di PetrWrap, sembra che qualcuno abbia fatto il furbo e sia riuscito a modificare il binary del malware per poterlo gestire in proprio.
Come spiegano i ricercatori di Kaspersky in un report dedicato al ransomware, PetrWrap sfrutta un sistema che gli consente di modificare il comportamento di Petya.
In sintesi, il malware sfrutta le porzioni di codice di Petya che gli servono, ma ne sostituisce alcune con dei moduli particolari che gli permettono di “mantenere il controllo” delle operazioni. In particolare utilizzando una chiave crittografica diversa da quella incorporata nel ransomware originale.
La logica di questa operazione è cristallina: senza questo accorgimento, gli autori di PetrWrap non potrebbero decifrare i dati crittografati dal malware.
Le modifiche rispetto al codice originale riguardano anche altri due elementi del ransomware e, in particolare, quelli che riguardano la visualizzazione della richiesta di riscatto (che non fa alcuna menzione di Petya) e quella che genera l’identificativo (ID) della macchina infetta, che consente ai cyber-criminali di gestire l’estorsione.
Purtroppo per noi, il resto del codice ricalca esattamente quello dell’ultima versione di Petya e, in particolare, ne riprende il sistema crittografico. Questo significa che, almeno per il momento, non c’è modo di scardinare la cifratura dei dati.
Mar 28, 2024 0
Mar 19, 2024 0
Mar 18, 2024 0
Mar 15, 2024 0
Mar 27, 2024 0
Mar 26, 2024 0
Mar 25, 2024 0
Mar 25, 2024 0
Mar 28, 2024 0
Stando al Rapporto Annuale sulle Minacce Informatiche di...Mar 27, 2024 0
La sanità viene presa di mira dagli infostealer: a dirlo...Mar 22, 2024 0
Nel 2024 i deepfake saranno una delle applicazioni di...Mar 21, 2024 0
Acronis annuncia l’ottenimento della qualificazione...Mar 19, 2024 0
Il numero di computer di Operation Technology (OT) è in...Mag 04, 2018 0
E se vi dicessimo che la saga di Star Wars ...Nov 14, 2016 2
Abbiamo rubato al blog di Kaspersky un vecchio pezzo di...Nov 08, 2016 2
Il numero uno degli scacchi mondiali Magnus Carlsen ha...Ott 28, 2016 0
Il pirata informatico che ha creato il ransomware cerca...Ott 11, 2016 0
Dopo la raffica di figuracce, l’azienda sospende per...Mar 28, 2024 0
Stando al Rapporto Annuale sulle Minacce Informatiche di...Mar 26, 2024 0
Un gruppo di ricercatori ha individuato un grosso problema...Mar 25, 2024 0
La scorsa settimana ha rappresentato una sfida...Mar 25, 2024 0
Il 22 marzo si è concluso il Pwn2Own, l’hackathon...Mar 22, 2024 0
Nel 2024 i deepfake saranno una delle applicazioni di...