Aggiornamenti recenti Dicembre 7th, 2023 6:02 PM
partner
News Recenti
- Transparency Center Initiative di Kaspersky Lab: cosa significa per l’Italia
- SLAM segue le orme di Spectre per colpire le CPU future
- Google risolve diverse vulnerabilità zero-click critiche in Android
- Gli hacktivisti iraniani continuano a colpire i centri idrici negli Stati Uniti
- Le reti neurali sono molto più vulnerabili di quanto pensiamo
- I gruppi nord-coreani hanno rubato 3 miliardi di dollari in criptovalute per finanziare attività militari
Il ransomware Magniber prende il testimone di Cerber
Il nuovo malware viene diffuso tramite un exploit kit. I ricercatori, però, non escludono che possa essere scardinato. Parola d’ordine: non pagare!
Anche se la cronaca non ha registrato nuovi casi eclatanti come quello di WannaCry o di Petya (o NotPetya) il settore dei ransomware continua ad andare a gonfie vele e i pirati informatici non smettono di sfornare nuovi malware programmati per crittografare i dati delle vittime e chiedere un riscatto per il loro “rilascio”.
L’ultimo arrivato è stato battezzato con il nome di Magniber e in una prima fase sembra aver preso di mira in particolare la Corea del Sud. Come sappiamo, però, è probabile che sia solo questione di tempo prima che arrivi a insidiare i nostri computer anche in Europa e in Italia.
Perché Magniber? Il nome del ransomware è stato scelto da Michael Gillespie, che fa parte del gruppo di ricercatori che orbitano intorno a Bleeping Computer.
Secondo Gillespie, infatti, si tratterebbe di un ransomware derivato direttamente dal celebre Cerber e distribuito attraverso un exploit kit chiamato Magnitude. L’abbinata (Magnitude + Cerber = Magniber) ha ispirato i ricercatori per coniare il nome del ransomware.
Una definizione ripresa anche da Trend Micro, che in un report ha segnalato i rischi legati alla diffusione del nuovo malware.
Magniber, stando a quanto riportano i ricercatori, è un classico crypto-ransomware che riprende molte delle caratteristiche di Cerber. Prima di tutto per quanto riguarda i file che vengono presi di mira.
Il ransomware, infatti, evita di crittografare i file presenti in alcune posizioni sul disco fisso, esattamente come il suo predecessore. Inoltre, il sito a cui vengono indirizzate le vittime per il pagamento del riscatto somiglia moltissimo a quello di Cerber.
Il sito per il pagamento indicato da Magniber (a destra) è quasi identico a quello usato dal suo predecessore Cerber (a sinistra).
Il sito è nel circuito Tor e utilizza un sistema di indirizzamento piuttosto peculiare. Al posto di assegnare a ogni vittima un identificativo da usare al momento del pagamento, Magniber genera un indirizzo Internet al cui interno è inserito l’identificativo stesso.
Se alla vittima è stato assegnato l’ID ava10ib3t21s1xfc4p6, per esempio il sito Internet su cui verrà dirottata per il pagamento sarà http://ava10ib3t21s1xfc4p6.bankme.date/.
In alcuni indirizzi i ricercatori hanno notato la presenza di un altro ID, inserito alla fine dell’URL del tipo http://ava10ib3t21s1xfc4p6.bankme.date/EP866p5M93wDS513. L’ipotesi più probabile è che si tratti dell’identificativo di “affiliati” che distribuiscono il malware su Internet e che l’indirizzo abbia una sintassi del tipo http://ID_vittima.bname.date/ID_affiliato.
Si tratta di un “modello di business” ormai piuttosto comune, come lo è anche la previsione di un sistema per la decodifica gratuita di un singolo file a cui possono accedere le vittime, che i pirati mettono in piedi per dimostrare che sono in grado di recuperare i dati crittografati.
Chi avesse la sfortuna di finire vittima di Magniber, però, si guardi bene dal pagare il riscatto. Secondo i ricercatori è probabile che il sistema di crittografia del ransomware possa essere scardinato e che venga rilasciato uno strumento di decodifica gratuito.
Condividi l'articolo
Attività sospette sul Web. I pirati cercano le chiavi per SSH dei siti WordPress
Boom di miner sui siti Web. Funzione legittima o cyber-crimine?
Articoli correlati
Altro in questa categoria
Approfondimenti
-
I gruppi nord-coreani hanno rubato 3 miliardi di dollari in... Negli ultimi anni i cyberattaccanti nord-coreani hanno... -
IA, QR Code e visori al servizio degli attaccanti: le... L’avvicinarsi della fine dell’anno coincide con... -
Carenza di competenze di cybersecurity: un quarto delle... Gli attacchi informatici crescono in numero e in... -
Black Friday ghiotto per il cybercrimine: in vendita 30... Yarix, divisione Digital Security di Var Group, ha... -
I trend delle minacce APT del 2024 Le minacce APT sono tra le più pericolose nel panorama...
Minacce recenti
Off topic
-
Maythefourth: La caduta dell’Impero Galattico è... E se vi dicessimo che la saga di Star Wars ... -
Gli hacker e il cinema: i dieci migliori film secondo... Abbiamo rubato al blog di Kaspersky un vecchio pezzo di... -
Campione di scacchi blinda il PC. “Paura degli hacker” Il numero uno degli scacchi mondiali Magnus Carlsen ha... -
L’autore di fsociety pensa di essere Mr. Robot, ma è un... Il pirata informatico che ha creato il ransomware cerca... -
Yahoo sospende l’inoltro delle email. Paura di un esodo... Dopo la raffica di figuracce, l’azienda sospende per...
Post recenti
-
SLAM segue le orme di Spectre per colpire le CPU future I ricercatori di VUSec, il gruppo di sicurezza... -
Google risolve diverse vulnerabilità zero-click critiche... Google ha rilasciato importanti aggiornamenti di sicurezza... -
Gli hacktivisti iraniani continuano a colpire i centri... Vi ricordate l’attacco di CyberAv3ngers al centro... -
Le reti neurali sono molto più vulnerabili di quanto... Che i sistemi di intelligenza artificiale fossero... -
I cybercriminali nord-coreani combinano vecchie campagne... I gruppi di cyberattaccanti nord-coreani dietro campagne...
Jargon room
Tutorial, guide e altre piccole idee per la sicurezza informatica
Ransomware: la serie
No posts found.
