Alcuni Russi vogliono i vostri pc | Ecco gli attacchi hacker in corso questi giorni

I ricercatori di Kaspersky hanno scovato un data wiper che fino a pochi giorni fa era totalmente sconosciuto. Secondo l’azienda russa, il wiper è stato individuato per la prima volta nell’autunno del 2022, quando è stato impiegato in un attacco contro la rete di un’organizzazione della Federazione Russa.

Izvestija, noto servizio di informazione russo, ha riferito che parte dello schema del wiper includeva una nota di riscatto che richiedeva una richiesta di 0,5 bitcoin, oltre a indicare l’indirizzo dove le vittime potevano effettuare il pagamento. Un vero e proprio inganno organizzato coi fiocchi, visto che nessuna delle vittime ha rivisto indietro nessuno dei file compromessi dal wiper.

Il letale CryWiper attacca la Russia

Kaspersky è un’azienda russa con sede a Mosca specializzata nella produzione di software progettati per la sicurezza informatica. Grazie alle analisi del codice effettuati dai ricercatori dell’azienda sappiamo che il wiper è un malware in grado di mascherarsi da ransomware, eludendo così i sistema di sicurezza, inoltre questo wiper non cripta, ma distrugge semplicemente i dati del sistema infetto. Denominato CryWiper, secondo Kaspersky è stato impiegato in attacchi distruttivi contro numerosi uffici dei sindaci e dei tribunali russi.

“Dopo aver esaminato un campione di malware, abbiamo scoperto che questo Trojan, anche se si maschera da ransomware ed estorce denaro alla vittima per “decriptare” i dati, in realtà non cripta, ma distrugge di proposito i dati nel sistema colpito”, si legge nel report pubblicato da Kaspersky. “Inoltre, l’analisi del codice del programma del Trojan ha dimostrato che non si tratta di un errore dello sviluppatore, ma della sua intenzione originale“.

Il campione CryWiper analizzato dai ricercatori è eseguibile su Windows a 64 bit, scritto in C++ e compilato utilizzando il toolkit MinGW-w64 e il compilatore GCC. Gli esperti di Kaspersky hanno sottolineato che questo processo di sviluppo per gli sviluppatori di malware C/C++ per Windows è piuttosto insolito, fattore che ha rallentato il ritrovamento.

Windows al centro dell’attacco

I ricercatori ritengono che il malware sia stato progettato specificamente per colpire i sistemi Windows, proprio perché utilizza molte chiamate alle funzioni WinAPI. Una volta eseguito, CryWiper utilizza il Task Scheduler e il comando schtasks, funzioni create appositamente per eseguire il file ogni 5 minuti.

Il wiper, utilizzando una richiesta HTTP GET, contatta il server di comando e controllo passando il nome del sistema infetto come parametro. Il C2 risponde a sua volta con un comando “esegui” o “non eseguire”, per determinare se il malware deve essere avviato o meno. In alcuni casi, i ricercatori hanno osservato nell’esecuzione del malware un ritardo di 4 giorni (345.600 secondi), probabilmente necessario per nascondere i processi dietro l’infezione.

Ricatti e dati cancellati per sempre: la forza di CryWiper

Dopo una serie di altri processi che portano alla cancellazione di diversi dati sensibili, il wiper cancella anche le copie shadow sul computer compromesso, così da impedire alle vittime di ripristinare i file cancellati. Il malware modifica anche l’impostazione del registro di sistema per impedire le connessioni RDP al sistema infetto.

Per distruggere i file utente, il wiper crea una sequenza continua di dati utilizzando un generatore di numeri pseudocasuali chiamato “Mersenne Vortex”, funzione in grado di sovrascrivere il contenuto del file originale: il malware aggiunge l’estensione “.CRY” ai file corrotti e rilascia una nota di riscatto denominata “README.txt”, chiedendo alle vittime del malware 0,5 Bitcoin per la decriptazione.

Ovviamente, come segnalato da Kaspersky, anche questo riscatto è solo un inganno: “CryWiper si posiziona come un programma ransomware, cioè sostiene che i file della vittima sono criptati e, se viene pagato un riscatto, possono essere ripristinati. Tuttavia, si tratta di una bufala: in realtà, i dati sono stati distrutti e non possono essere restituiti. L’attività di CryWiper dimostra ancora una volta che il pagamento del riscatto non garantisce il recupero dei file”, conclude il rapporto.