Aggiornamenti recenti Aprile 30th, 2025 9:31 AM
partner
News Recenti
- Transparency Center Initiative di Kaspersky Lab: cosa significa per l’Italia
- La RSA Conference accoglie le soluzioni italiane di cybersecurity
- Oltre 70 vulnerabilità 0-day sfruttate nel 2024: il report di Google
- Una patch di Windows introduce una nuova vulnerabilità
- Scoperto un nuovo spyware Android che colpisce l’esercito russo
- Stop alla Privacy Sandbox di Google
Col trojan Rakhni i pirati devono solo scegliere: ransomware o miner?
Il malware decide in automatico se crittografare i file della vittima o installare un miner. Male che vada, sua il PC per diffondersi su altri computer…
Sappiamo benissimo che i pirati informatici agiscono solo sulla spinta del desiderio di guadagnare denaro. Negli ultimi mesi, infatti, abbiamo assistito a un cambio di strategia generalizzato: al posto di diffondere ransomware (che hanno garantito incassi record nel 2017) stanno sempre più spesso usando malware che installano sui PC infetti dei classici miner, software che usano la potenza di calcolo del computer per generare cripto-valute.
Gli autori della nuova variante di Rakhni, però, sono andati oltre e hanno a messo a punto uno schema che gli permette di ottimizzare i guadagni scegliendo caso per caso quale strategia adottare. Rakhni è un malware comparso per la prima volta nel 2013, che ora è stato “riveduto e corretto” per una nuova campagna di attacchi.
Come spiegano i ricercatori di Kaspersky in un dettagliato report, il trojan viene diffuso via email sotto forma di un falso PDF che contiene in realtà un file eseguibile. Una volta aperto, il file avvia una procedura d’installazione “camuffata” in modo da sembrare quella di un plugin di Adobe. Se la vittima acconsente all’esecuzione, compare un falso messaggio di errore (che giustifica la mancata apertura del PDF) mentre il trojan ha campo libero.
La tecnica di attacco non è particolarmente originale, ma a quanto pare è comunque efficace.
Ed è qui che le cose si fanno molto interessanti. Il malware, infatti, contiene diversi moduli e sceglie quale avviare a seconda delle caratteristiche del computer.
La sua prima opzione è quella di agire come ransomware avviando la crittografia dei file presenti sul disco fisso. Gli autori del trojan, però, hanno deciso di colpire solo le eventuali vittime che utilizzano già Bitcoin. Il malware, infatti, esegue come prima azione un controllo per verificare se esista la cartella predefinita per la memorizzazione dei dati relativi al wallet Bitcoin (%AppData%\Bitcoin) e avvia la crittazione dei dati solo se il controllo da esito positivo.
Difficile capire il perché di questa scelta, ma è logico supporre che i cyber-criminali preferiscano colpire solo chi ha già una certa familiarità con le cripto-valute e possa quindi pagare rapidamente il riscatto richiesto. La richiesta di pagamento viene copiata in ogni cartella crittografata ed è contenuta in un file chiamato MESSAGE.txt.
Nonostante gli avvertimenti contenuti nel messaggio dei pirati, che sconsigliano di usare strumenti di terze parti per cercare di recuperare i dati presi in ostaggio, i ricercatori fanno notare che i file possono essere decodificati utilizzando il tool gratuito messo a punto nell’ambito del progetto No More Ransom.
Se invece il disco fisso non contiene una cartella dedicata ai Bitcoin, Rakhni esegue un ulteriore controllo sulle caratteristiche del PC colpito, verificando in particolare il numero di processori logici disponibili. Se ce ne sono almeno due, il trojan installa un miner che sfrutta la potenza del PC per generare Monero e Dashcoin.
Se invece il computer non è appetibile per questo tipo di attività, Rakhni si “limita” ad avviare un terzo modulo che gli permette di diffondersi alle altre macchine collegate nella rete locale attraverso un vettore di attacco simile a quello di un worm.
Condividi l'articolo
Aggiornamento WordPress corregge una falla vecchia di sette mesi
La sicurezza parte dalle cose semplici!
Articoli correlati
Altro in questa categoria
Approfondimenti
-
Oltre 70 vulnerabilità 0-day sfruttate nel 2024: il report... Secondo una recente analisi pubblicata dal Threat... -
XorDDoS, il DDoS contro Linux evolve e continua a mietere... I ricercatori di Cisco Talos hanno pubblicato una nuova... -
Slopsquatting: quando l’IA consiglia pacchetti che... La diffusione dell’IA e il progressivo miglioramento... -
Agenti di IA: un’arma potente nelle mani del... Gli agenti di IA stanno diventando sempre più capaci, in... -
PDF pericolosi: il 22% degli attacchi proviene da questi... I file PDF possono diventare molto pericolosi: stando a una...
Minacce recenti
Off topic
-
L’IA generativa unifica le interfacce di gestione e... Con l’avvento dell’IA generativa... -
Cyberinsurance: misurare il rischio umano può... Negli ultimi anni sempre più aziende stanno sottoscrivendo... -
Il machine learning di Kaspersky aumenta la capacità di... Grazie al machine learning, il Global Research and Analysis... -
I vertici aziendali non sono del tutto pronti alle nuove... Il 2024 è l’anno delle nuove normative di sicurezza:... -
Più della meta delle aziende geo-distribuite ha problemi... Una delle sfide principali delle aziende distribuite sul...
Post recenti
-
La RSA Conference accoglie le soluzioni italiane di... Quest’anno la RSA Conference, il più grande evento... -
Oltre 70 vulnerabilità 0-day sfruttate nel 2024: il report... Secondo una recente analisi pubblicata dal Threat...
-
Una patch di Windows introduce una nuova vulnerabilità Una delle ultime patch di Windows, rilasciata per risolvere... -
Scoperto un nuovo spyware Android che colpisce... I ricercatori di Dr. Web, fornitore russo di software... -
Stop alla Privacy Sandbox di Google A sei anni dal primo annuncio, Google ha deciso di...
Ransomware: la serie
No posts found.
