Aggiornamenti recenti Maggio 8th, 2025 9:39 AM
Lug 29, 2016 Marco Schiaffino Attacchi, Leaks, Malware, News, RSS, Scenario 0
Il “mercato” dei ransomware fa gola a molti cyber-criminali e per assicurarsene una fetta maggiore molti di loro sono disposti a qualsiasi cosa. Anche sabotare un concorrente.
È quello che potrebbe essere successo martedì scorso in una vicenda che coinvolge alcuni tra i maggiori responsabili della diffusione di ransomware negli ultimi mesi. Secondo una ricostruzione fatta da alcuni ricercatori, tutto sarebbe cominciato qualche mese fa, quando alcuni pirati hanno messo le mani sul codice di Chimera, un ransomware molto diffuso in Germania.
Oltre a utilizzare una parte del codice per realizzare il ransomware Mischa, i cyber-criminali hanno ottenuto anche le chiavi crittografiche utilizzate da Chimera per codificare i file sui computer infetti. Martedì scorso hanno pubblicato le chiavi su Internet, avvisando le società antivirus con un tweet.
*
La comunicazione su Twitter ha permesso ai ricercatori antivirus di mettere le mani sulle chiavi crittografiche di Chimera senza colpo ferire.
Una vera manna per le società di sicurezza, che hanno potuto scaricare circa 3.500 chiavi utilizzate dal ransomware. Una delle prime a realizzare uno strumento per recuperare i file cifrati da Chimera è stata Kaspersky, che ha integrato la funzione nella nuova versione del suo RakhniDecryptor sul suo sito.
Chimera, comparso a settembre dello scorso anno, è un ransomware piuttosto particolare. Oltre a cifrare i file e chiedere un riscatto per ottenere la chiave, minacciava le vittime lasciando intendere che in assenza del pagamento i file sarebbero stati pubblicati su Internet.
A quanto pare, l’azione di sabotaggio nei confronti di Chimera sarebbe stata compiuta da due gruppi affiliati tra loro: insieme agli autori di Mischa, infatti, avrebbero collaborato al leak anche i cyber-criminali che controllano il famigerato Petya. I ricercatori hanno notato da tempo che i due ransomware sembrano lavorare in tandem, utilizzando gli stessi sistemi di diffusione.
Mischa è un crypto-ransomware piuttosto tradizionale, che codifica i file e chiede il classico riscatto (in questo caso circa 875 dollari) per ottenere la chiave di decodifica. Petya, invece, agisce in maniera più distruttiva: punta addirittura al Master Boot Record, rendendo illeggibili tutti i file memorizzati sul disco.
Il ransomware, però, ha un difetto. L’eseguibile, infatti, richiede i privilegi di amministratore e visualizza, di conseguenza, la finestra di dialogo che richiede la conferma dell’utente per l’esecuzione del programma. Ebbene: nell’ultima versione di Petya, nel caso in cui l’autorizzazione sia negata, viene avviato il download e l’esecuzione di Mischa.
Mischa è un classico crypto-virus. Gli autori di Petya lo usano come “backup” nei casi in cui il loro ransomware non riesce a colpire.
Tra i due gruppi, quindi, sembra esserci una vera partnership, che negli ultimi giorni potrebbe essersi evoluta in un’alleanza per contrastare i concorrenti di Chimera. Un’ipotesi alternativa, però, è quella che la pubblicazione delle chiavi sia semplicemente l’ultimo atto di una campagna ransomware ormai conclusa.
Chimera, infatti, non sarebbe più attivo dallo scorso novembre e i pirati potrebbero aver deciso di sciacquarsi la coscienza permettendo alle vittime che non hanno pagato il riscatto di recuperare i loro file.
Mag 06, 2025 0
Apr 30, 2025 0
Apr 24, 2025 0
Apr 22, 2025 0
Mag 08, 2025 0
Mag 07, 2025 0
Mag 07, 2025 0
Mag 05, 2025 0
Mag 06, 2025 0
Le minacce informatiche continuano a evolversi e, anche se...Apr 29, 2025 0
Secondo una recente analisi pubblicata dal Threat...Apr 18, 2025 0
I ricercatori di Cisco Talos hanno pubblicato una nuova...Apr 15, 2025 0
La diffusione dell’IA e il progressivo miglioramento...Apr 09, 2025 0
Gli agenti di IA stanno diventando sempre più capaci, in...Gen 29, 2025 0
Con l’avvento dell’IA generativa...Ott 09, 2024 0
Negli ultimi anni sempre più aziende stanno sottoscrivendo...Ott 02, 2024 0
Grazie al machine learning, il Global Research and Analysis...Set 30, 2024 0
Il 2024 è l’anno delle nuove normative di sicurezza:...Mag 21, 2024 0
Una delle sfide principali delle aziende distribuite sul...Mag 08, 2025 0
Pochi giorni fa la CISA, in collaborazione con l’FBI,...Mag 07, 2025 0
Una vulnerabilità di Langflow sta venendo attivamente...Mag 07, 2025 0
Samsung MagicINFO è una piattaforma di gestione...Mag 06, 2025 0
Le minacce informatiche continuano a evolversi e, anche se...Mag 05, 2025 0
In occasione di VeeamON, conferenza annuale...