Ransomware Midnight: un decryptor gratuito è stato rilasciato grazie ad un errore nel codice

Redazione RHC : 12 Novembre 2025 11:34

I ricercatori hanno individuato una vulnerabilità nel nuovo ransomware Midnight, basato sul vecchio codice sorgente di Babuk. Il malware viene commercializzato come una versione “avanzata” del malware, ma i tentativi di accelerare e potenziare il processo di crittografia si sono rivelati infruttuosi: i ricercatori Norton sono riusciti a creare un decryptor gratuito per i dati interessati.

Gli esperti affermano che Midnight si basa sul codice sorgente di Babuk, che è trapelato nel pubblico dominio nel 2021 e successivamente utilizzato come base per decine di progetti malware.

Midnight replica quasi interamente la struttura del suo predecessore, ma gli sviluppatori hanno deciso di modificarne lo schema di crittografia: il malware utilizza ChaCha20 per crittografare il contenuto dei file e RSA per crittografare la chiave ChaCha20.

Vuoi diventare un esperto del Dark Web e della Cyber Threat Intelligence (CTI)? Stiamo per avviare il corso intermedio in modalità "Live Class" del corso "Dark Web & Cyber Threat Intelligence".  A differenza dei corsi in e-learning, disponibili online sulla nostra piattaforma con lezioni pre-registrate, i corsi in Live Class offrono un’esperienza formativa interattiva e coinvolgente.   Condotti dal professor Pietro Melillo, le lezioni si svolgono online in tempo reale, permettendo ai partecipanti di interagire direttamente con il docente e approfondire i contenuti in modo personalizzato. Questi corsi, ideali per aziende, consentono di sviluppare competenze mirate, affrontare casi pratici e personalizzare il percorso formativo in base alle esigenze specifiche del team, garantendo un apprendimento efficace e immediatamente applicabile.  Guarda subito l'anteprima gratuita del corso su academy.redhotcyber.com Contattaci per ulteriori informazioni tramite WhatsApp al 375 593 1011 oppure scrivi a [email protected] Supporta Red Hot Cyber attraverso:  L'acquisto del fumetto sul Cybersecurity Awareness Ascoltando i nostri Podcast Seguendo RHC su WhatsApp Seguendo RHC su Telegram Scarica gratuitamente “Byte The Silence”, il fumetto sul Cyberbullismo di Red Hot Cyber Se ti piacciono le novità e gli articoli riportati su di Red Hot Cyber, iscriviti immediatamente alla newsletter settimanale per non perdere nessun articolo. La newsletter generalmente viene inviata ai nostri lettori ad inizio settimana, indicativamente di lunedì.

Tuttavia, i ricercatori hanno scoperto un bug nell’utilizzo della chiave RSA, che ha permesso loro di recuperare parzialmente i dati e poi di creare un decryptor completo. Lo strumento è gratuito ed è già stato rilasciato pubblicamente.

Come Babuk, Midnight crittografa solo porzioni di file per agire più velocemente e paralizzare il sistema. La dimensione dei blocchi crittografati dipende dalle dimensioni del file: documenti o database di grandi dimensioni diventano illeggibili quasi istantaneamente. Nelle ultime build, il malware ha ampliato il suo elenco di obiettivi per coprire quasi tutti i formati di file, ad eccezione dei file eseguibili (.exe, .dll e .msi).

I dispositivi infetti finiscono per ricevere file con estensione .midnight o .endpoint, e a volte questo tag è incorporato direttamente nel contenuto del file. Alla vittima viene lasciata una richiesta di riscatto standard (How To Restore Your Files.txt) e talvolta persino un file di registro come report.midnight o debug.endpoint, che mostra il funzionamento dello script.

Redazione
La redazione di Red Hot Cyber è composta da un insieme di persone fisiche e fonti anonime che collaborano attivamente fornendo informazioni in anteprima e news sulla sicurezza informatica e sull'informatica in generale.

Lista degli articoli