Alcuni+Russi+vogliono+i+vostri+pc+%7C+Ecco+gli+attacchi+hacker+in+corso+questi+giorni
player
/tech/495925-attacco-hacker-russia-malware-crywiper.html/amp/
Tech

Alcuni Russi vogliono i vostri pc | Ecco gli attacchi hacker in corso questi giorni

I ricercatori di Kaspersky hanno scovato un data wiper che fino a pochi giorni fa era totalmente sconosciuto. Secondo l’azienda russa, il wiper è stato individuato per la prima volta nell’autunno del 2022, quando è stato impiegato in un attacco contro la rete di un’organizzazione della Federazione Russa.

Izvestija, noto servizio di informazione russo, ha riferito che parte dello schema del wiper includeva una nota di riscatto che richiedeva una richiesta di 0,5 bitcoin, oltre a indicare l’indirizzo dove le vittime potevano effettuare il pagamento. Un vero e proprio inganno organizzato coi fiocchi, visto che nessuna delle vittime ha rivisto indietro nessuno dei file compromessi dal wiper.

Il letale CryWiper attacca la Russia

Kaspersky è un’azienda russa con sede a Mosca specializzata nella produzione di software progettati per la sicurezza informatica. Grazie alle analisi del codice effettuati dai ricercatori dell’azienda sappiamo che il wiper è un malware in grado di mascherarsi da ransomware, eludendo così i sistema di sicurezza, inoltre questo wiper non cripta, ma distrugge semplicemente i dati del sistema infetto. Denominato CryWiper, secondo Kaspersky è stato impiegato in attacchi distruttivi contro numerosi uffici dei sindaci e dei tribunali russi.

“Dopo aver esaminato un campione di malware, abbiamo scoperto che questo Trojan, anche se si maschera da ransomware ed estorce denaro alla vittima per “decriptare” i dati, in realtà non cripta, ma distrugge di proposito i dati nel sistema colpito”, si legge nel report pubblicato da Kaspersky. “Inoltre, l’analisi del codice del programma del Trojan ha dimostrato che non si tratta di un errore dello sviluppatore, ma della sua intenzione originale“.

Il campione CryWiper analizzato dai ricercatori è eseguibile su Windows a 64 bit, scritto in C++ e compilato utilizzando il toolkit MinGW-w64 e il compilatore GCC. Gli esperti di Kaspersky hanno sottolineato che questo processo di sviluppo per gli sviluppatori di malware C/C++ per Windows è piuttosto insolito, fattore che ha rallentato il ritrovamento.

Windows al centro dell’attacco

I ricercatori ritengono che il malware sia stato progettato specificamente per colpire i sistemi Windows, proprio perché utilizza molte chiamate alle funzioni WinAPI. Una volta eseguito, CryWiper utilizza il Task Scheduler e il comando schtasks, funzioni create appositamente per eseguire il file ogni 5 minuti.

Il wiper, utilizzando una richiesta HTTP GET, contatta il server di comando e controllo passando il nome del sistema infetto come parametro. Il C2 risponde a sua volta con un comando “esegui” o “non eseguire”, per determinare se il malware deve essere avviato o meno. In alcuni casi, i ricercatori hanno osservato nell’esecuzione del malware un ritardo di 4 giorni (345.600 secondi), probabilmente necessario per nascondere i processi dietro l’infezione.

Ricatti e dati cancellati per sempre: la forza di CryWiper

Dopo una serie di altri processi che portano alla cancellazione di diversi dati sensibili, il wiper cancella anche le copie shadow sul computer compromesso, così da impedire alle vittime di ripristinare i file cancellati. Il malware modifica anche l’impostazione del registro di sistema per impedire le connessioni RDP al sistema infetto.

Per distruggere i file utente, il wiper crea una sequenza continua di dati utilizzando un generatore di numeri pseudocasuali chiamato “Mersenne Vortex”, funzione in grado di sovrascrivere il contenuto del file originale: il malware aggiunge l’estensione “.CRY” ai file corrotti e rilascia una nota di riscatto denominata “README.txt”, chiedendo alle vittime del malware 0,5 Bitcoin per la decriptazione.

Ovviamente, come segnalato da Kaspersky, anche questo riscatto è solo un inganno: “CryWiper si posiziona come un programma ransomware, cioè sostiene che i file della vittima sono criptati e, se viene pagato un riscatto, possono essere ripristinati. Tuttavia, si tratta di una bufala: in realtà, i dati sono stati distrutti e non possono essere restituiti. L’attività di CryWiper dimostra ancora una volta che il pagamento del riscatto non garantisce il recupero dei file”, conclude il rapporto.

This post was published on 6 Dicembre 2022 20:30

Stefano Sergente

Nato nel 1993 tra le rive radioattive del Fiume Pescara, dopo aver studiato le antiche arti della sceneggiatura presso la Scuola Internazionale di Comics, decide inconsciamente di dedicare la sua vita alla scrittura. Tra le tante avventure intraprese ci sono diversi progetti cinematografici e fumetti brevi, tra i quali alcuni pubblicati con il collettivo Spaghetti Comics. Grazie all'educazione spartana impartita dai suoi fratelli maggiori, può vantare la fortuna di avere avuto un joypad del NES tra i suoi primi giocattoli, passione che ha portato avanti tutta la vita consumando pad di varie console, mouse, tastiere, occhi e mani.

Pubblicato da

Recent Posts

Le migliori offerte Dreame per il Black Friday: tutto il catalogo pulizia a prezzi folli

Cercate tre prodotti di lusso per una pulizia casalinga profonda? Approfittate delle offerte Black Friday…

Brusco stop per Amadeus, chiude il programma: cosa farà ora

Amadeus, passato dalla Rai al blocco di canali Discovery Warner Bros, stavolta non ha centrato…

Brutta notizia per i giocatori: arriva il primo aumento di prezzo per Fortnite

Per la prima volta nella storia di Fortnite, Epic Games ho in programma un aumento…

Il prossimo Google Maps sarà il migliore di sempre grazie a Pokémon Go

Il sistema di geolocalizzazione migliorerà sempre di più e questo sarà possibile grazie a Pokémon…

Questo è il momento migliore per regalare e regalarti un Kindle: lo sconto Black Friday è esagerato

Il Black Friday può essere sfruttato a pieno dagli amanti della lettura ed è la…

Grande Fratello, rabbia della produzione: arriva la pesante punizione

Il Grande Fratello non ha personato il comportamenti degli inquilini della casa che si sono…