Scoperto un nuovo malware low-cost di tipo Ransomware-as-a-Service (RaaS)

I ricercatori di Recorded Future hanno individuato una nuova variante di ransomware, denominata Karmen e diffusa in base al modello RaaS. In questo modo, chiunque, persino un principiante, può spalancare davanti a sé le porte che conducono al torbido mondo della cyber-estorsione, semplicemente dopo aver registrato il relativo account ed aver personalizzato la campagna ransomware in base alle proprie “esigenze”.

Il ransomware Karmen costa appena 175 dollari $, e permette ai malintenzionati di stabilire l’entità del riscatto, il termine previsto per il pagamento dello stesso e diversi modi per realizzare le necessarie comunicazioni tra la vittima e coloro che coordinano lo svolgimento della campagna malevola. La speciale infrastruttura RaaS comprende ugualmente un apposito dashboard, utilizzato per monitorare il numero degli effettivi “clienti” acquisiti, e l’entità dei profitti illeciti via via realizzati.

“Karmen viene venduto in qualità di variante stand-alone di un programma ransomware; è possibile pagare, per il suo utilizzo, soltanto una volta: colui che organizza la campagna, inoltre, non paga alcuna commissione al fornitore del malware RaaS, e tiene quindi per sé il 100% degli introiti ottenuti”, — scrivono gli esperti di Recorded Future. Il ransomware in causa è disponibile sia in versione completa, sia in versione “light”; quest’ultima non contempla le specifiche funzionalità di riconoscimento dell’eventuale sandbox, e presenta pertanto dimensioni notevolmente inferiori.

I ricercatori di Recorded Future si sono imbattuti per la prima volta in Karmen lo scorso 4 marzo; il malware veniva “commercializzato” in base al modello RaaS, su un forum underground frequentato da hacker, dal cybercriminale di lingua russa conosciuto con il nickname di DevBitox o Dereck1. In merito a tutto questo hanno riferito, nell’ambito di un apposito report dedicato alle indagini condotte sul malware in questione, due esperti di Recorded Future, Diana Granger e Andrey Barysevich.

Di DevBitox non si conosce in pratica nulla, se non il fatto che, in precedenza, tale “personaggio” è stato attivamente alla ricerca di clienti, offrendo loro servizi di hacking. Karmen, con ogni probabilità, è il primo progetto commerciale dell’hacker in causa.

Karmen è basato su un progetto ransomware open source, denominato Hidden Tear, il cui codice era stato reso pubblicamente disponibile nel mese di agosto 2015, per scopi didattici, dal ricercatore turco Utku Sen. Da allora, è comparsa sulla scena una vera e propria moltitudine di varianti di questo malware.

I primi casi di infezione da parte del ransomware Karmen sono stati rilevati nel mese di dicembre 2016; le vittime, nella circostanza, risultavano ubicate in Germania e negli Stati Uniti. Per cifrare i file custoditi sui computer infetti, Karmen ricorre all’utilizzo del protocollo di crittografia AES-256.

Karmen (o Hidden Tear) può essere ad ogni caso rimosso dal computer tramite un’utility gratuita, dal sito NoMoreRansom.org. Secondo quanto asseriscono i ricercatori, tuttavia, “al momento attuale non è possibile decodificare, senza procedere prima al pagamento del riscatto, i file già cifrati”.

Karmen presenta tutta una serie di caratteristiche distintive; una delle sue funzionalità, ad esempio, consente di eliminare automaticamente il decryptor, se nel computer della vittima viene rilevato un ambiente sandbox o uno specifico software per la conduzione di analisi. In base alle informazioni presenti nel Dark Web, esistono 20 copie di Karmen, tutte quante commercializzate dall’hacker DevBitox; soltanto cinque di esse, tuttavia, sono al momento disponibili per la vendita.

“Per assicurare un adeguato livello qualitativo, in termini di supporto e assistenza, gli sviluppatori, spesso, limitano il numero delle copie vendute ai clienti”, — sostengono i ricercatori.

Al momento attuale, non si sa ancora nulla né riguardo alle modalità di diffusione del malware, né in merito al numero delle vittime effettive.

Fonte: Threatpost

Post correlati

Lascia un commento

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *