Virus writer vendicativo lancia attacchi DDoS contro il sito web di ricercatori specializzati in sicurezza IT

In questi ultimi due giorni, il sito ID Ransomware è stato sottoposto a due attacchi DDoS di fila, la cui responsabilità è stata rivendicata dall’autore del malware crittografico Enjey. Secondo quanto dichiarato dal virus writer, gli attacchi sono stati eseguiti come una precisa vendetta per il fatto che il creatore del sito web ID Ransomware, il ricercatore Michael Gillespie, è stato in grado di sviluppare il decryptor capace di contrastare Enjey.

A seguito della prima ondata di attacco, il sito non ha funzionato per alcune ore: nonostante l’assalto DDoS sia stato neutralizzato in tempi rapidi, il provider ha disattivato, per precauzione, il sito web in causa, ripristinandone poi l’operatività qualche ora dopo che l’attacco era stato interrotto.

Nella circostanza, il malintenzionato si è avvalso di un metodo piuttosto inusuale, per quel che riguarda la conduzione degli attacchi DDoS. Il sito web denominato ID Ransomware è stato creato affinché gli utenti possano determinare il tipo di malware crittografico in cui essi si sono imbattuti; tale operazione viene realizzata caricando il file con la richiesta di riscatto e/o la copia di un file cifrato dal malware. L’autore di Enjey ha attaccato proprio questa sezione del sito, caricando in loop continuo due diversi file. Nel momento di picco dell’attacco, il numero delle richieste di caricamento è risultato pari a 200.000 query all’ora; nella seconda fase dell’assalto DDoS, nell’arco di mezz’ora si sono invece registrate 20.000 richieste.

Il vendicativo virus writer ha dichiarato di essere particolarmente arrabbiato e “sconcertato” per il fatto che ID Ransomware era riuscito ad identificare il malware da egli sviluppato, anche se, molto probabilmente, il vero motivo di tale “irritazione” è da ricercare in un elemento ancor più concreto e tangibile: l’ideatore del sito web era stato in grado di realizzare il decryptor capace di disinnescare Enjey, temibile malware crittografico di recente creazione.

Di fatto, Enjey è un software nocivo tutt’altro che sofisticato, per non dire piuttosto “semplice” o “elementare”, come hanno affermato i numerosi ricercatori che lo hanno nel frattempo analizzato. Il processo di cifratura è in effetti abbastanza “primitivo”, e largamente diffuso: in pratica, si fa ricorso all’algoritmo di crittografia AES-256, il quale genera un identificatore univoco per ogni vittima, ed invia lo stesso ad un server remoto, assieme alla relativa chiave di codifica.

Una volta entrato in azione, il malware provvede ugualmente ad eliminare le copie shadow dei volumi, con il preciso scopo di rendere impossibile il ripristino dei file, anche ricorrendo al rollback del sistema, oppure ad appositi programmi per il recupero dei dati compromessi. Il ransomware crittografico colpisce, in pratica, tutti i file, ad eccezione dei file custoditi in determinate directory. Ai file cifrati viene aggiunta l’estensione <.encrypted.contact_here_me@india.com.enjey>.

Al momento attuale, il server di comando e controllo di Enjey è stato disattivato dallo stesso creatore del programma maligno in questione, visto che, in presenza del relativo tool di decodifica, non avrebbe di fatto senso procedere ad un’ulteriore diffusione del suddetto ransomware. Lo sviluppatore del malware ha tuttavia comunicato che, attualmente, sta lavorando alla versione 2.0 di Enjey.

Fonte: Threatpost

Post correlati

Lascia un commento

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *