Aggiornamenti recenti Settembre 27th, 2022 10:00 AM
partner
News Recenti
- Transparency Center Initiative di Kaspersky Lab: cosa significa per l’Italia
- Sistemi di controllo industriale troppo poco protetti
- Nuovo malware NullMixer ruba dati in tutto il mondo
- Tarfile: gravi rischi oggi per una vulnerabilità di 15 anni fa
- Dati a rischio su Oracle Cloud Infrastructure
- Sempre più attacchi con la tecnica dell’MFA Fatigue
Il ransomware Magniber prende il testimone di Cerber
Il nuovo malware viene diffuso tramite un exploit kit. I ricercatori, però, non escludono che possa essere scardinato. Parola d’ordine: non pagare!
Anche se la cronaca non ha registrato nuovi casi eclatanti come quello di WannaCry o di Petya (o NotPetya) il settore dei ransomware continua ad andare a gonfie vele e i pirati informatici non smettono di sfornare nuovi malware programmati per crittografare i dati delle vittime e chiedere un riscatto per il loro “rilascio”.
L’ultimo arrivato è stato battezzato con il nome di Magniber e in una prima fase sembra aver preso di mira in particolare la Corea del Sud. Come sappiamo, però, è probabile che sia solo questione di tempo prima che arrivi a insidiare i nostri computer anche in Europa e in Italia.
Perché Magniber? Il nome del ransomware è stato scelto da Michael Gillespie, che fa parte del gruppo di ricercatori che orbitano intorno a Bleeping Computer.
Secondo Gillespie, infatti, si tratterebbe di un ransomware derivato direttamente dal celebre Cerber e distribuito attraverso un exploit kit chiamato Magnitude. L’abbinata (Magnitude + Cerber = Magniber) ha ispirato i ricercatori per coniare il nome del ransomware.
Una definizione ripresa anche da Trend Micro, che in un report ha segnalato i rischi legati alla diffusione del nuovo malware.
Magniber, stando a quanto riportano i ricercatori, è un classico crypto-ransomware che riprende molte delle caratteristiche di Cerber. Prima di tutto per quanto riguarda i file che vengono presi di mira.
Il ransomware, infatti, evita di crittografare i file presenti in alcune posizioni sul disco fisso, esattamente come il suo predecessore. Inoltre, il sito a cui vengono indirizzate le vittime per il pagamento del riscatto somiglia moltissimo a quello di Cerber.
Il sito per il pagamento indicato da Magniber (a destra) è quasi identico a quello usato dal suo predecessore Cerber (a sinistra).
Il sito è nel circuito Tor e utilizza un sistema di indirizzamento piuttosto peculiare. Al posto di assegnare a ogni vittima un identificativo da usare al momento del pagamento, Magniber genera un indirizzo Internet al cui interno è inserito l’identificativo stesso.
Se alla vittima è stato assegnato l’ID ava10ib3t21s1xfc4p6, per esempio il sito Internet su cui verrà dirottata per il pagamento sarà http://ava10ib3t21s1xfc4p6.bankme.date/.
In alcuni indirizzi i ricercatori hanno notato la presenza di un altro ID, inserito alla fine dell’URL del tipo http://ava10ib3t21s1xfc4p6.bankme.date/EP866p5M93wDS513. L’ipotesi più probabile è che si tratti dell’identificativo di “affiliati” che distribuiscono il malware su Internet e che l’indirizzo abbia una sintassi del tipo http://ID_vittima.bname.date/ID_affiliato.
Si tratta di un “modello di business” ormai piuttosto comune, come lo è anche la previsione di un sistema per la decodifica gratuita di un singolo file a cui possono accedere le vittime, che i pirati mettono in piedi per dimostrare che sono in grado di recuperare i dati crittografati.
Chi avesse la sfortuna di finire vittima di Magniber, però, si guardi bene dal pagare il riscatto. Secondo i ricercatori è probabile che il sistema di crittografia del ransomware possa essere scardinato e che venga rilasciato uno strumento di decodifica gratuito.
Condividi l'articolo
Attività sospette sul Web. I pirati cercano le chiavi per SSH dei siti WordPress
Boom di miner sui siti Web. Funzione legittima o cyber-crimine?
Articoli correlati
Altro in questa categoria
Approfondimenti
-
Mitre Engenuity Test: il test impossibile da ignorare Il Mitre lo conoscono tutti: come istituzione, come... -
Acronis: fare cyber security partendo dalla sicurezza del... Acronis è un’azienda che deve buona parte della sua fama... -
Ransomware: le tecniche dei criminali per estorcere denaro Il ransomware è un flagello che sta colpendo le aziende di... -
Ransomware: perché il backup non basta Il ransomware è una tipologia d’attacco di cui... -
Ransomware: le multe, il GDPR e le contromisure Non c’è quasi utente di computer che non abbia sentito...
Minacce recenti
Off topic
-
Maythefourth: La caduta dell’Impero Galattico è... E se vi dicessimo che la saga di Star Wars ... -
Gli hacker e il cinema: i dieci migliori film secondo... Abbiamo rubato al blog di Kaspersky un vecchio pezzo di... -
Campione di scacchi blinda il PC. “Paura degli hacker” Il numero uno degli scacchi mondiali Magnus Carlsen ha... -
L’autore di fsociety pensa di essere Mr. Robot, ma è un... Il pirata informatico che ha creato il ransomware cerca... -
Yahoo sospende l’inoltro delle email. Paura di un esodo... Dopo la raffica di figuracce, l’azienda sospende per...
Post recenti
-
Sistemi di controllo industriale troppo poco protetti Due attacchi di hacktivisti in Israele dimostrano la... -
Nuovo malware NullMixer ruba dati in tutto il mondo NullMixer ruba credenziali degli utenti, indirizzi, dati... -
Tarfile: gravi rischi oggi per una vulnerabilità di 15... Almeno 350.000 progetti open source sono potenzialmente... -
Dati a rischio su Oracle Cloud Infrastructure Prima di essere patchato, il bug #AttachMe avrebbe potuto... -
Sempre più attacchi con la tecnica dell’MFA Fatigue I cyber criminali sorpassano sempre più spesso...
Nuovo malware NullMixer ruba dati in tutto il mondo
NullMixer ruba credenziali degli utenti, indirizzi, dati delle carte di... Continua →
Ransomware: la serie
No posts found.