Alcuni+Russi+vogliono+i+vostri+pc+%7C+Ecco+gli+attacchi+hacker+in+corso+questi+giorni
player
/tech/495925-attacco-hacker-russia-malware-crywiper.html/amp/
Tech

Alcuni Russi vogliono i vostri pc | Ecco gli attacchi hacker in corso questi giorni

I ricercatori di Kaspersky hanno scovato un data wiper che fino a pochi giorni fa era totalmente sconosciuto. Secondo l’azienda russa, il wiper è stato individuato per la prima volta nell’autunno del 2022, quando è stato impiegato in un attacco contro la rete di un’organizzazione della Federazione Russa.

Izvestija, noto servizio di informazione russo, ha riferito che parte dello schema del wiper includeva una nota di riscatto che richiedeva una richiesta di 0,5 bitcoin, oltre a indicare l’indirizzo dove le vittime potevano effettuare il pagamento. Un vero e proprio inganno organizzato coi fiocchi, visto che nessuna delle vittime ha rivisto indietro nessuno dei file compromessi dal wiper.

Il letale CryWiper attacca la Russia

Kaspersky è un’azienda russa con sede a Mosca specializzata nella produzione di software progettati per la sicurezza informatica. Grazie alle analisi del codice effettuati dai ricercatori dell’azienda sappiamo che il wiper è un malware in grado di mascherarsi da ransomware, eludendo così i sistema di sicurezza, inoltre questo wiper non cripta, ma distrugge semplicemente i dati del sistema infetto. Denominato CryWiper, secondo Kaspersky è stato impiegato in attacchi distruttivi contro numerosi uffici dei sindaci e dei tribunali russi.

“Dopo aver esaminato un campione di malware, abbiamo scoperto che questo Trojan, anche se si maschera da ransomware ed estorce denaro alla vittima per “decriptare” i dati, in realtà non cripta, ma distrugge di proposito i dati nel sistema colpito”, si legge nel report pubblicato da Kaspersky. “Inoltre, l’analisi del codice del programma del Trojan ha dimostrato che non si tratta di un errore dello sviluppatore, ma della sua intenzione originale“.

Il campione CryWiper analizzato dai ricercatori è eseguibile su Windows a 64 bit, scritto in C++ e compilato utilizzando il toolkit MinGW-w64 e il compilatore GCC. Gli esperti di Kaspersky hanno sottolineato che questo processo di sviluppo per gli sviluppatori di malware C/C++ per Windows è piuttosto insolito, fattore che ha rallentato il ritrovamento.

Windows al centro dell’attacco

I ricercatori ritengono che il malware sia stato progettato specificamente per colpire i sistemi Windows, proprio perché utilizza molte chiamate alle funzioni WinAPI. Una volta eseguito, CryWiper utilizza il Task Scheduler e il comando schtasks, funzioni create appositamente per eseguire il file ogni 5 minuti.

Il wiper, utilizzando una richiesta HTTP GET, contatta il server di comando e controllo passando il nome del sistema infetto come parametro. Il C2 risponde a sua volta con un comando “esegui” o “non eseguire”, per determinare se il malware deve essere avviato o meno. In alcuni casi, i ricercatori hanno osservato nell’esecuzione del malware un ritardo di 4 giorni (345.600 secondi), probabilmente necessario per nascondere i processi dietro l’infezione.

Ricatti e dati cancellati per sempre: la forza di CryWiper

Dopo una serie di altri processi che portano alla cancellazione di diversi dati sensibili, il wiper cancella anche le copie shadow sul computer compromesso, così da impedire alle vittime di ripristinare i file cancellati. Il malware modifica anche l’impostazione del registro di sistema per impedire le connessioni RDP al sistema infetto.

Per distruggere i file utente, il wiper crea una sequenza continua di dati utilizzando un generatore di numeri pseudocasuali chiamato “Mersenne Vortex”, funzione in grado di sovrascrivere il contenuto del file originale: il malware aggiunge l’estensione “.CRY” ai file corrotti e rilascia una nota di riscatto denominata “README.txt”, chiedendo alle vittime del malware 0,5 Bitcoin per la decriptazione.

Ovviamente, come segnalato da Kaspersky, anche questo riscatto è solo un inganno: “CryWiper si posiziona come un programma ransomware, cioè sostiene che i file della vittima sono criptati e, se viene pagato un riscatto, possono essere ripristinati. Tuttavia, si tratta di una bufala: in realtà, i dati sono stati distrutti e non possono essere restituiti. L’attività di CryWiper dimostra ancora una volta che il pagamento del riscatto non garantisce il recupero dei file”, conclude il rapporto.

This post was published on 6 Dicembre 2022 20:30

Stefano Sergente

Nato nel 1993 tra le rive radioattive del Fiume Pescara, dopo aver studiato le antiche arti della sceneggiatura presso la Scuola Internazionale di Comics, decide inconsciamente di dedicare la sua vita alla scrittura. Tra le tante avventure intraprese ci sono diversi progetti cinematografici e fumetti brevi, tra i quali alcuni pubblicati con il collettivo Spaghetti Comics. Grazie all'educazione spartana impartita dai suoi fratelli maggiori, può vantare la fortuna di avere avuto un joypad del NES tra i suoi primi giocattoli, passione che ha portato avanti tutta la vita consumando pad di varie console, mouse, tastiere, occhi e mani.

Pubblicato da

Recent Posts

Questo smartphone è assurdo, cambia colore con il freddo: è il primo al mondo

Uno smartphone che, grazie alla tecnologia, è in grado di cambiare colore e reagire alla…

Indiana Jones e l’Antico Cerchio | Recensione: Avventura con la A maiuscola

Recensione di Indiana Jones e l'Antico Cerchio, avventura cinematografica dell'archeologo più famoso del mondo. Continua

Solo in America: guarda un video Youtube e riceve una bolletta da 6,223 $

Come vi sentireste a pagare 6mila dollari per una bolletta di internet? Questo è ciò…

I migliori smart LED che si adattano a quello che guardi in TV: funzionano anche con i comandi vocali

Siete alla ricerca di luci smart LED che possano restituirvi forti sensazioni visive e che…

Auguri di Buon Natale, le frasi più belle da inviare su Whatsapp e non solo

Congegnare auguri di buon Natale, non banali e né stucchevoli, da mandare su WhatsApp ad…

Il miglior GDR del 2024 non avrà né DLC né sequel e tutto questo ci rende molto tristi

L'annuncio arriva direttamente dal director del gioco che vuole dire stop al progetto nonostante il…