Aggiornamenti recenti Settembre 20th, 2024 9:00 AM
Lug 29, 2016 Marco Schiaffino Attacchi, Leaks, Malware, News, RSS, Scenario 0
Il “mercato” dei ransomware fa gola a molti cyber-criminali e per assicurarsene una fetta maggiore molti di loro sono disposti a qualsiasi cosa. Anche sabotare un concorrente.
È quello che potrebbe essere successo martedì scorso in una vicenda che coinvolge alcuni tra i maggiori responsabili della diffusione di ransomware negli ultimi mesi. Secondo una ricostruzione fatta da alcuni ricercatori, tutto sarebbe cominciato qualche mese fa, quando alcuni pirati hanno messo le mani sul codice di Chimera, un ransomware molto diffuso in Germania.
Oltre a utilizzare una parte del codice per realizzare il ransomware Mischa, i cyber-criminali hanno ottenuto anche le chiavi crittografiche utilizzate da Chimera per codificare i file sui computer infetti. Martedì scorso hanno pubblicato le chiavi su Internet, avvisando le società antivirus con un tweet.
*
Una vera manna per le società di sicurezza, che hanno potuto scaricare circa 3.500 chiavi utilizzate dal ransomware. Una delle prime a realizzare uno strumento per recuperare i file cifrati da Chimera è stata Kaspersky, che ha integrato la funzione nella nuova versione del suo RakhniDecryptor sul suo sito.
Chimera, comparso a settembre dello scorso anno, è un ransomware piuttosto particolare. Oltre a cifrare i file e chiedere un riscatto per ottenere la chiave, minacciava le vittime lasciando intendere che in assenza del pagamento i file sarebbero stati pubblicati su Internet.
A quanto pare, l’azione di sabotaggio nei confronti di Chimera sarebbe stata compiuta da due gruppi affiliati tra loro: insieme agli autori di Mischa, infatti, avrebbero collaborato al leak anche i cyber-criminali che controllano il famigerato Petya. I ricercatori hanno notato da tempo che i due ransomware sembrano lavorare in tandem, utilizzando gli stessi sistemi di diffusione.
Mischa è un crypto-ransomware piuttosto tradizionale, che codifica i file e chiede il classico riscatto (in questo caso circa 875 dollari) per ottenere la chiave di decodifica. Petya, invece, agisce in maniera più distruttiva: punta addirittura al Master Boot Record, rendendo illeggibili tutti i file memorizzati sul disco.
Il ransomware, però, ha un difetto. L’eseguibile, infatti, richiede i privilegi di amministratore e visualizza, di conseguenza, la finestra di dialogo che richiede la conferma dell’utente per l’esecuzione del programma. Ebbene: nell’ultima versione di Petya, nel caso in cui l’autorizzazione sia negata, viene avviato il download e l’esecuzione di Mischa.
Tra i due gruppi, quindi, sembra esserci una vera partnership, che negli ultimi giorni potrebbe essersi evoluta in un’alleanza per contrastare i concorrenti di Chimera. Un’ipotesi alternativa, però, è quella che la pubblicazione delle chiavi sia semplicemente l’ultimo atto di una campagna ransomware ormai conclusa.
Chimera, infatti, non sarebbe più attivo dallo scorso novembre e i pirati potrebbero aver deciso di sciacquarsi la coscienza permettendo alle vittime che non hanno pagato il riscatto di recuperare i loro file.
Set 19, 2024 0
Set 17, 2024 0
Set 16, 2024 0
Set 16, 2024 0
Set 20, 2024 0
Set 18, 2024 0
Set 13, 2024 0
Set 12, 2024 0
Set 20, 2024 0
Secondo il report del primo trimestre 2024 di Cisco Talos...Set 19, 2024 0
Ora più che mai le aziende si trovano nel mirino dei...Set 18, 2024 0
Negli ultimi tempi gli abusi “transitivi” di...Set 13, 2024 0
Nel suo ultimo Patch Tuesday Microsoft aveva segnalato la...Set 06, 2024 0
Il quishing non è una minaccia nuova, ma negli ultimi...Mag 21, 2024 0
Una delle sfide principali delle aziende distribuite sul...Mag 08, 2024 0
L’ultimo non è stato un buon anno per Microsoft:...Mag 04, 2018 0
E se vi dicessimo che la saga di Star Wars ...Nov 14, 2016 2
Abbiamo rubato al blog di Kaspersky un vecchio pezzo di...Nov 08, 2016 2
Il numero uno degli scacchi mondiali Magnus Carlsen ha...Set 20, 2024 0
Secondo il report del primo trimestre 2024 di CiscoSet 17, 2024 0
Pochi giorni fa il Port of Seattle, l’agenzia...Set 16, 2024 0
I ricercatori di Doctor Web hanno scoperto Vo1d, unSet 16, 2024 0
Nel corso dell’ultima settimana, il CERT-AGID ha...Set 13, 2024 0
I ricercatori di Aqua Nautilus hanno individuato un nuovo...