Aggiornamenti recenti Aprile 26th, 2024 9:14 AM
Mar 15, 2017 Marco Schiaffino Malware, Minacce, News, Ransomware, RSS 0
Tra pirati informatici la lealtà è merce rara. L’ultimo esempio di “sgarro” operato nel mondo del cyber crimine è rappresentato dalla comparsa di quello che i ricercatori Kaspersky hanno battezzato con il nome di PetrWrap.
Si tratta di un ransomware che, secondo gli analisti, è stato derivato direttamente da Petya, una vecchia conoscenza del settore.
L’elemento interessante, però, è che stando a quanto dicono dalle parti di Kaspersky si tratterebbe di una versione “piratata” del celebre ransomware.
Petya è un crypto-ransomware che ha fatto parlare di sé a causa di una sua particolarità tecnica: il malware, infatti, attacca il settore MBR del disco fisso del PC, bloccando di fatto il sistema e chiedendo un riscatto in Bitcoin che la vittima deve pagare per ottenere il codice che consente di “sbloccare” il computer.
Questo, però, non è l’unico tratto distintivo di Petya. Il ransomware è stato uno dei primi ad adottare una strategia di diffusione basata sul concetto di “ransomware as a service”: i suoi autori, infatti, forniscono a chi lo desidera il binary del malware, affidandogli di fatto il compito di diffonderlo su Internet.
Sono invece gli autori a gestire la comunicazione con i server Command and Control e a incassare i proventi delle estorsioni. I “collaboratori” che si fanno carico di individuare e colpire le vittime vengono poi compensati con una percentuale sui riscatti che vengono pagati dalle vittime.
Nel caso di PetrWrap, sembra che qualcuno abbia fatto il furbo e sia riuscito a modificare il binary del malware per poterlo gestire in proprio.
Come spiegano i ricercatori di Kaspersky in un report dedicato al ransomware, PetrWrap sfrutta un sistema che gli consente di modificare il comportamento di Petya.
In sintesi, il malware sfrutta le porzioni di codice di Petya che gli servono, ma ne sostituisce alcune con dei moduli particolari che gli permettono di “mantenere il controllo” delle operazioni. In particolare utilizzando una chiave crittografica diversa da quella incorporata nel ransomware originale.
La logica di questa operazione è cristallina: senza questo accorgimento, gli autori di PetrWrap non potrebbero decifrare i dati crittografati dal malware.
Le modifiche rispetto al codice originale riguardano anche altri due elementi del ransomware e, in particolare, quelli che riguardano la visualizzazione della richiesta di riscatto (che non fa alcuna menzione di Petya) e quella che genera l’identificativo (ID) della macchina infetta, che consente ai cyber-criminali di gestire l’estorsione.
Purtroppo per noi, il resto del codice ricalca esattamente quello dell’ultima versione di Petya e, in particolare, ne riprende il sistema crittografico. Questo significa che, almeno per il momento, non c’è modo di scardinare la cifratura dei dati.
Apr 24, 2024 0
Apr 23, 2024 0
Apr 22, 2024 0
Apr 19, 2024 0
Apr 26, 2024 0
Apr 24, 2024 0
Apr 23, 2024 0
Apr 22, 2024 0
Apr 24, 2024 0
ToddyCat, un gruppo APT che colpisce prevalentemente...Apr 18, 2024 0
La corsa all’IA generativa ha spinto i produttori di...Apr 16, 2024 0
LockBit continua a colpire le organizzazioni di tutto il...Apr 15, 2024 0
Il 41% delle imprese italiane subisce mensilmente attacchi...Apr 12, 2024 0
In occasione del Privacy Tour 2024, l’iniziativa del...Mag 04, 2018 0
E se vi dicessimo che la saga di Star Wars ...Nov 14, 2016 2
Abbiamo rubato al blog di Kaspersky un vecchio pezzo di...Nov 08, 2016 2
Il numero uno degli scacchi mondiali Magnus Carlsen ha...Ott 28, 2016 0
Il pirata informatico che ha creato il ransomware cerca...Ott 11, 2016 0
Dopo la raffica di figuracce, l’azienda sospende per...Apr 26, 2024 0
I ricercatori di Avast hanno scoperto una nuova campagna...Apr 24, 2024 0
I ricercatori di Cisco Talos hanno scoperto una nuova...Apr 24, 2024 0
ToddyCat, un gruppo APT che colpisce prevalentemente...Apr 23, 2024 0
In occasione dell’Italian Partner Conferencetenutasi...Apr 23, 2024 0
Un team di ricercatori ha sviluppato quello che ritengono...