Il ransomware BlackMatter smette di funzionare a causa della pressione della polizia

Le organizzazioni pubbliche in Russia, inclusi comuni e tribunali, sono prese di mira da una variante di malware completamente nuova e piuttosto subdola.

CryWiper si atteggia a ransomware e cerca di estorcere del denaro alle vittime (0,5 bitcoin, ovvero circa 9000 dollari al momento della stampa), ma il suo obiettivo non è farsi pagare, bensì distruggere tutti i file trovati sul terminale infetto.

I ricercatori di sicurezza informatica di Kaspersky segnalano attacchi informatici "unici" in Russia, in cui ai file infetti viene assegnata una nuova estensione: .cry (da cui il nome CryWiper). Mentre i media locali hanno affermato che gli aggressori hanno preso di mira gli uffici e i tribunali del sindaco del paese, non è chiaro esattamente quante entità siano riuscite a compromettere.

Russi che prendono di mira i russi?

Quello che sappiamo è che il malware condivide tratti comuni con altri due ceppi di malware: Trojan-Ransom.Win32.Xorist e Trojan-Ransom.MSIL.Agent. Hanno tutti lo stesso indirizzo e-mail elencato nella richiesta di riscatto. Xorist è stato individuato per la prima volta nel 2010 ed è descritto come una famiglia di ransomware Windows destinata a utenti di lingua russa e inglese.

CryWiper è stato scritto in C++, che secondo Ars Technica è una scelta insolita e indica la possibilità che gli hacker utilizzino un dispositivo non Windows per scrivere il codice.

Lo stesso post afferma inoltre che il malware è relativamente simile a IsaacWiper, un malware di pulizia che ha recentemente preso di mira le aziende con sede in Ucraina. Apparentemente, entrambi i wiper utilizzano lo stesso algoritmo per generare numeri pseudocasuali che sovrascrivono i dati nei file, corrompendoli in modo permanente.

Gli aggressori userebbero l'algoritmo Mersenne Vortex PRNG, che è un'altra caratteristica non comune.

I tergicristalli sono tra le varianti di malware più pericolose, poiché il loro unico scopo è quello di "cancellare" definitivamente tutti i dati sul dispositivo di destinazione. Per difendersi da tali attacchi, si consiglia agli utenti di prestare attenzione durante il download degli allegati e di assicurarsi che il proprio software e hardware siano sempre aggiornati. È inoltre consigliabile disporre di soluzioni di sicurezza informatica all'avanguardia (si apre in una nuova scheda).

Via: Ars Technica (si apre in una nuova scheda)

Condividi questo