Aggiornamenti recenti Giugno 13th, 2025 12:44 AM
partner
News Recenti
- Transparency Center Initiative di Kaspersky Lab: cosa significa per l’Italia
- EchoLeak: è arrivata la prima vulnerabilità zero clic per le IA (Microsoft 365 Copilot)
- Smartwatch e attacchi acustici: nuova minaccia alle reti isolate
- Microsoft rilascia patch per 67 bug, di cui uno già sfruttato
- Un bug di Google consentiva di scoprire il numero di telefono degli utenti in pochi minuti
- Helmon e la cybersecurity per tutti. Soprattutto le PMI
Pubblicate le chiavi crittografiche di Chimera. Una guerra tra pirati?
I gruppi di cyber-criminali responsabili della diffusione di Petya e Mischa hanno pubblicato su Internet le chiavi crittografiche per recuperare i file codificati dal ransomware rivale Chimera.
Il “mercato” dei ransomware fa gola a molti cyber-criminali e per assicurarsene una fetta maggiore molti di loro sono disposti a qualsiasi cosa. Anche sabotare un concorrente.
È quello che potrebbe essere successo martedì scorso in una vicenda che coinvolge alcuni tra i maggiori responsabili della diffusione di ransomware negli ultimi mesi. Secondo una ricostruzione fatta da alcuni ricercatori, tutto sarebbe cominciato qualche mese fa, quando alcuni pirati hanno messo le mani sul codice di Chimera, un ransomware molto diffuso in Germania.
Oltre a utilizzare una parte del codice per realizzare il ransomware Mischa, i cyber-criminali hanno ottenuto anche le chiavi crittografiche utilizzate da Chimera per codificare i file sui computer infetti. Martedì scorso hanno pubblicato le chiavi su Internet, avvisando le società antivirus con un tweet.
*
La comunicazione su Twitter ha permesso ai ricercatori antivirus di mettere le mani sulle chiavi crittografiche di Chimera senza colpo ferire.
Una vera manna per le società di sicurezza, che hanno potuto scaricare circa 3.500 chiavi utilizzate dal ransomware. Una delle prime a realizzare uno strumento per recuperare i file cifrati da Chimera è stata Kaspersky, che ha integrato la funzione nella nuova versione del suo RakhniDecryptor sul suo sito.
Chimera, comparso a settembre dello scorso anno, è un ransomware piuttosto particolare. Oltre a cifrare i file e chiedere un riscatto per ottenere la chiave, minacciava le vittime lasciando intendere che in assenza del pagamento i file sarebbero stati pubblicati su Internet.
A quanto pare, l’azione di sabotaggio nei confronti di Chimera sarebbe stata compiuta da due gruppi affiliati tra loro: insieme agli autori di Mischa, infatti, avrebbero collaborato al leak anche i cyber-criminali che controllano il famigerato Petya. I ricercatori hanno notato da tempo che i due ransomware sembrano lavorare in tandem, utilizzando gli stessi sistemi di diffusione.
Mischa è un crypto-ransomware piuttosto tradizionale, che codifica i file e chiede il classico riscatto (in questo caso circa 875 dollari) per ottenere la chiave di decodifica. Petya, invece, agisce in maniera più distruttiva: punta addirittura al Master Boot Record, rendendo illeggibili tutti i file memorizzati sul disco.
Il ransomware, però, ha un difetto. L’eseguibile, infatti, richiede i privilegi di amministratore e visualizza, di conseguenza, la finestra di dialogo che richiede la conferma dell’utente per l’esecuzione del programma. Ebbene: nell’ultima versione di Petya, nel caso in cui l’autorizzazione sia negata, viene avviato il download e l’esecuzione di Mischa.
Mischa è un classico crypto-virus. Gli autori di Petya lo usano come “backup” nei casi in cui il loro ransomware non riesce a colpire.
Tra i due gruppi, quindi, sembra esserci una vera partnership, che negli ultimi giorni potrebbe essersi evoluta in un’alleanza per contrastare i concorrenti di Chimera. Un’ipotesi alternativa, però, è quella che la pubblicazione delle chiavi sia semplicemente l’ultimo atto di una campagna ransomware ormai conclusa.
Chimera, infatti, non sarebbe più attivo dallo scorso novembre e i pirati potrebbero aver deciso di sciacquarsi la coscienza permettendo alle vittime che non hanno pagato il riscatto di recuperare i loro file.
Condividi l'articolo
Gli Emirati Arabi contro le VPN: carcere e 500.000 dollari di multa
Il 3% dei nodi Tor sono compromessi
Articoli correlati
Altro in questa categoria
Approfondimenti
-
Le aziende italiane prevedono un aumento degli investimenti... La cybersecurity sta acquisendo sempre più importanza tra... -
Sophos Annual Threat Report: i malware e gli strumenti più... Nel 2024, le piccole e medie imprese, spesso considerate il... -
Down di MATLAB: MathWorks conferma l’attacco... MATLAB ha smesso di funzionare per quasi una settimana e... -
Acronis: l’italia traina la crescita MSP Nel corso del “TRU Security Day 2025” di... -
Akamai individua “BadSuccessor” per... I ricercatori di Akamai hanno individuato di recente...
Minacce recenti
Off topic
-
L’IA generativa unifica le interfacce di gestione e... Con l’avvento dell’IA generativa... -
Cyberinsurance: misurare il rischio umano può... Negli ultimi anni sempre più aziende stanno sottoscrivendo... -
Il machine learning di Kaspersky aumenta la capacità di... Grazie al machine learning, il Global Research and Analysis... -
I vertici aziendali non sono del tutto pronti alle nuove... Il 2024 è l’anno delle nuove normative di sicurezza:... -
Più della meta delle aziende geo-distribuite ha problemi... Una delle sfide principali delle aziende distribuite sul...
Post recenti
-
EchoLeak: è arrivata la prima vulnerabilità zero clic per... Nel gennaio 2025, i ricercatori di Aim Labs hanno... -
Smartwatch e attacchi acustici: nuova minaccia alle reti... Le reti air-gapped, ovvero fisicamente separate da Internet... -
Microsoft rilascia patch per 67 bug, di cui uno già... Nell’aggiornamento di sicurezza di giugno Microsoft... -
Un bug di Google consentiva di scoprire il numero di... Di recente Google ha agito su un bug che consentiva... -
Helmon e la cybersecurity per tutti. Soprattutto le PMI In un contesto nazionale in cui il cyber crime colpisce...
Ransomware: la serie
No posts found.
