Aggiornamenti recenti Dicembre 15th, 2025 2:32 PM
partner
News Recenti
- Transparency Center Initiative di Kaspersky Lab: cosa significa per l’Italia
- L’IA al centro delle strategie di cybersecurity future: le previsioni di Crowdstrike
- CERT-AGID 6–12 dicembre: cresce l’uso di Figma e Webflow nel phishing
- Apple interviene su due zero-day sfruttati attivamente in attacchi mirati
- Misterioso guasto satellitare: centinaia di Porsche “bloccate” in Russia
- Patch Tuesday, Microsoft risolve una vulnerabilità già sfruttata e due zero-day
Col trojan Rakhni i pirati devono solo scegliere: ransomware o miner?
Il malware decide in automatico se crittografare i file della vittima o installare un miner. Male che vada, sua il PC per diffondersi su altri computer…
Sappiamo benissimo che i pirati informatici agiscono solo sulla spinta del desiderio di guadagnare denaro. Negli ultimi mesi, infatti, abbiamo assistito a un cambio di strategia generalizzato: al posto di diffondere ransomware (che hanno garantito incassi record nel 2017) stanno sempre più spesso usando malware che installano sui PC infetti dei classici miner, software che usano la potenza di calcolo del computer per generare cripto-valute.
Gli autori della nuova variante di Rakhni, però, sono andati oltre e hanno a messo a punto uno schema che gli permette di ottimizzare i guadagni scegliendo caso per caso quale strategia adottare. Rakhni è un malware comparso per la prima volta nel 2013, che ora è stato “riveduto e corretto” per una nuova campagna di attacchi.
Come spiegano i ricercatori di Kaspersky in un dettagliato report, il trojan viene diffuso via email sotto forma di un falso PDF che contiene in realtà un file eseguibile. Una volta aperto, il file avvia una procedura d’installazione “camuffata” in modo da sembrare quella di un plugin di Adobe. Se la vittima acconsente all’esecuzione, compare un falso messaggio di errore (che giustifica la mancata apertura del PDF) mentre il trojan ha campo libero.
La tecnica di attacco non è particolarmente originale, ma a quanto pare è comunque efficace.
Ed è qui che le cose si fanno molto interessanti. Il malware, infatti, contiene diversi moduli e sceglie quale avviare a seconda delle caratteristiche del computer.
La sua prima opzione è quella di agire come ransomware avviando la crittografia dei file presenti sul disco fisso. Gli autori del trojan, però, hanno deciso di colpire solo le eventuali vittime che utilizzano già Bitcoin. Il malware, infatti, esegue come prima azione un controllo per verificare se esista la cartella predefinita per la memorizzazione dei dati relativi al wallet Bitcoin (%AppData%\Bitcoin) e avvia la crittazione dei dati solo se il controllo da esito positivo.
Difficile capire il perché di questa scelta, ma è logico supporre che i cyber-criminali preferiscano colpire solo chi ha già una certa familiarità con le cripto-valute e possa quindi pagare rapidamente il riscatto richiesto. La richiesta di pagamento viene copiata in ogni cartella crittografata ed è contenuta in un file chiamato MESSAGE.txt.
Nonostante gli avvertimenti contenuti nel messaggio dei pirati, che sconsigliano di usare strumenti di terze parti per cercare di recuperare i dati presi in ostaggio, i ricercatori fanno notare che i file possono essere decodificati utilizzando il tool gratuito messo a punto nell’ambito del progetto No More Ransom.
Se invece il disco fisso non contiene una cartella dedicata ai Bitcoin, Rakhni esegue un ulteriore controllo sulle caratteristiche del PC colpito, verificando in particolare il numero di processori logici disponibili. Se ce ne sono almeno due, il trojan installa un miner che sfrutta la potenza del PC per generare Monero e Dashcoin.
Se invece il computer non è appetibile per questo tipo di attività, Rakhni si “limita” ad avviare un terzo modulo che gli permette di diffondersi alle altre macchine collegate nella rete locale attraverso un vettore di attacco simile a quello di un worm.
Condividi l'articolo
Aggiornamento WordPress corregge una falla vecchia di sette mesi
La sicurezza parte dalle cose semplici!
Articoli correlati
Altro in questa categoria
Approfondimenti
-
L’IA al centro delle strategie di cybersecurity... Il 2025 sta giungendo al termine e nel mondo della... -
Prompt injection, un problema che potrebbe non venire mai... Secondo il National Cyber Security Centre (NCSC),... -
Iniezione indiretta di prompt: a rischio le informazioni... Lakera, società di Check Point, ha pubblicato una ricerca... -
Gli LLM malevoli aiutano i piccoli cybercriminali, ma non... Dopo l’esplosione di ChatGPT e degli LLM, nel mondo... -
Codice formattato, ma migliaia di secret esposti: il... I ricercatori di watchTowr Labs hanno individuato migliaia...
Minacce recenti
Off topic
-
L’IA generativa unifica le interfacce di gestione e... Con l’avvento dell’IA generativa... -
Cyberinsurance: misurare il rischio umano può... Negli ultimi anni sempre più aziende stanno sottoscrivendo... -
Il machine learning di Kaspersky aumenta la capacità di... Grazie al machine learning, il Global Research and Analysis... -
I vertici aziendali non sono del tutto pronti alle nuove... Il 2024 è l’anno delle nuove normative di sicurezza:... -
Più della meta delle aziende geo-distribuite ha problemi... Una delle sfide principali delle aziende distribuite sul...
Post recenti
-
CERT-AGID 6–12 dicembre: cresce l’uso di Figma e... Nel periodo compreso tra il 6 e il 12 dicembre,... -
Apple interviene su due zero-day sfruttati attivamente in... Apple ha rilasciato degli aggiornamenti di sicurezza... -
Misterioso guasto satellitare: centinaia di Porsche... Panico in Russia: centinaia di Porsche sono rimaste... -
Patch Tuesday, Microsoft risolve una vulnerabilità già... Nel bollettino del Patch Tuesday di dicembre Microsoft ha... -
Prompt injection, un problema che potrebbe non venire mai... Secondo il National Cyber Security Centre (NCSC),...
Ransomware: la serie
No posts found.