News

Scoperto un nuovo malware low-cost di tipo Ransomware-as-a-Service (RaaS)

I ricercatori di Recorded Future hanno individuato una nuova variante di ransomware, denominata Karmen e diffusa in base al modello RaaS. In questo modo, chiunque, persino un principiante, può spalancare davanti a sé le porte che conducono al torbido mondo della cyber-estorsione, semplicemente dopo aver registrato il relativo account ed aver personalizzato la campagna ransomware in base alle proprie “esigenze”.

Il ransomware Karmen costa appena 175 dollari $, e permette ai malintenzionati di stabilire l’entità del riscatto, il termine previsto per il pagamento dello stesso e diversi modi per realizzare le necessarie comunicazioni tra la vittima e coloro che coordinano lo svolgimento della campagna malevola. La speciale infrastruttura RaaS comprende ugualmente un apposito dashboard, utilizzato per monitorare il numero degli effettivi “clienti” acquisiti, e l’entità dei profitti illeciti via via realizzati.

“Karmen viene venduto in qualità di variante stand-alone di un programma ransomware; è possibile pagare, per il suo utilizzo, soltanto una volta: colui che organizza la campagna, inoltre, non paga alcuna commissione al fornitore del malware RaaS, e tiene quindi per sé il 100% degli introiti ottenuti”, — scrivono gli esperti di Recorded Future. Il ransomware in causa è disponibile sia in versione completa, sia in versione “light”; quest’ultima non contempla le specifiche funzionalità di riconoscimento dell’eventuale sandbox, e presenta pertanto dimensioni notevolmente inferiori.

I ricercatori di Recorded Future si sono imbattuti per la prima volta in Karmen lo scorso 4 marzo; il malware veniva “commercializzato” in base al modello RaaS, su un forum underground frequentato da hacker, dal cybercriminale di lingua russa conosciuto con il nickname di DevBitox o Dereck1. In merito a tutto questo hanno riferito, nell’ambito di un apposito report dedicato alle indagini condotte sul malware in questione, due esperti di Recorded Future, Diana Granger e Andrey Barysevich.

Di DevBitox non si conosce in pratica nulla, se non il fatto che, in precedenza, tale “personaggio” è stato attivamente alla ricerca di clienti, offrendo loro servizi di hacking. Karmen, con ogni probabilità, è il primo progetto commerciale dell’hacker in causa.

Karmen è basato su un progetto ransomware open source, denominato Hidden Tear, il cui codice era stato reso pubblicamente disponibile nel mese di agosto 2015, per scopi didattici, dal ricercatore turco Utku Sen. Da allora, è comparsa sulla scena una vera e propria moltitudine di varianti di questo malware.

I primi casi di infezione da parte del ransomware Karmen sono stati rilevati nel mese di dicembre 2016; le vittime, nella circostanza, risultavano ubicate in Germania e negli Stati Uniti. Per cifrare i file custoditi sui computer infetti, Karmen ricorre all’utilizzo del protocollo di crittografia AES-256.

Karmen (o Hidden Tear) può essere ad ogni caso rimosso dal computer tramite un’utility gratuita, dal sito NoMoreRansom.org. Secondo quanto asseriscono i ricercatori, tuttavia, “al momento attuale non è possibile decodificare, senza procedere prima al pagamento del riscatto, i file già cifrati”.

Karmen presenta tutta una serie di caratteristiche distintive; una delle sue funzionalità, ad esempio, consente di eliminare automaticamente il decryptor, se nel computer della vittima viene rilevato un ambiente sandbox o uno specifico software per la conduzione di analisi. In base alle informazioni presenti nel Dark Web, esistono 20 copie di Karmen, tutte quante commercializzate dall’hacker DevBitox; soltanto cinque di esse, tuttavia, sono al momento disponibili per la vendita.

“Per assicurare un adeguato livello qualitativo, in termini di supporto e assistenza, gli sviluppatori, spesso, limitano il numero delle copie vendute ai clienti”, — sostengono i ricercatori.

Al momento attuale, non si sa ancora nulla né riguardo alle modalità di diffusione del malware, né in merito al numero delle vittime effettive.

Fonte: Threatpost

Scoperto un nuovo malware low-cost di tipo Ransomware-as-a-Service (RaaS)

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *

 

Report

Evoluzione dei malware mobile – 2016

Ha continuato a crescere in maniera davvero sensibile, nel corso del 2016, il numero dei Trojan pubblicitari in grado di utilizzare i diritti di superutente. Si è trattato, lungo tutto l’arco dell’anno, della minaccia informatica numero 1; al momento attuale non scorgiamo, peraltro, validi motivi ed argomenti che lascino intravedere qualche cambiamento riguardo a tale specifica tendenza.

Lo spam nell’anno 2016

Nel 2016, all’interno dei flussi di spam, si sono verificati diversi cambiamenti; tra di essi, quello più significativo riguarda il sensibile aumento del numero di mailing di massa preposte alla distribuzione dei temibili programmi ransomware. Considerando l’effettiva disponibilità, sul mercato nero, di simili software nocivi, è presumibile che tale tendenza continui a manifestarsi anche nell’anno in corso.

Kaspersky Security Bulletin 2016. Rassegna annuale. Le statistiche dell’anno 2016

Il 2016 è stato, nell’ambito della cyber sicurezza, un anno davvero intenso e turbolento, caratterizzato da imponenti botnet IoT, ransomware, attacchi mirati di cyber spionaggio, ingenti furti nella sfera finanziaria, “hacktivismo” e molto altro ancora. Il Kaspersky Security Bulletin 2016 e il report Statistics di Kaspersky Lab forniscono un quadro dettagliato della situazione; qui, invece, si può leggere l’Executive Summary.

Kaspersky Security Bulletin 2016. La rivoluzione del ransomware

Tra gennaio e settembre 2016 gli attacchi ransomware diretti alle imprese sono aumentati di tre volte, fino all’equivalente di un attacco ogni 40 secondi. Con il boom del ransomware-as-a-service, ed il lancio del progetto NoMoreRansom, Kaspersky Lab ha definito il ransomware come il proprio “tema chiave” per il 2016.

Iscriviti alle nostre e-mail settimanali

La ricerca più all'avanguardia, direttamente nella tua inbox