Red Hot Cyber, il blog italiano sulla sicurezza informatica
Red Hot Cyber
La cybersecurity è condivisione. Riconosci il rischio, combattilo, condividi le tue esperienze ed incentiva gli altri a fare meglio di te.
Cerca

Alla scoperta di Key Wolf ransomware. Il ransomware che non chiede un riscatto

Davide Santoro : 31 Marzo 2023 16:00

Il Cyber Threat Intelligence team di Bi.zone ha individuato una nuova minaccia che si fa chiamare Key Wolf, un threat actor che agisce mediante l’uso di un ransomware. Ma a differenza dei ransomware e delle cyber-gang a cui siamo abituati, non chiede alcun riscatto e non è mosso da interesse economico.

Inoltre – almeno da quello che sembrerebbe finora – sembra non essere a “target”, ma colpisce nel mucchio mediante l’invio massivo di email. Ma andiamo ad analizzare meglio questa nuova minaccia che, come ci insegna la storia recente, potrebbe essere copiata anche da altri gruppi.

Key Wolf

Il gruppo Key Wolf in queste ore sta bombardando le email degli utenti russi con un ransomware che, in caso di avvio, non contiene alcuna richiesta di riscatto e non fornisce alcuna indicazione per recuperare i file infetti.

Iscriviti GRATIS ai WorkShop Hands-On della RHC Conference 2025 (Giovedì 8 maggio 2025)

Il giorno giovedì 8 maggio 2025 presso il teatro Italia di Roma (a due passi dalla stazione termini e dalla metro B di Piazza Bologna), si terranno i workshop "hands-on", creati per far avvicinare i ragazzi (o persone di qualsiasi età) alla sicurezza informatica e alla tecnologia. Questo anno i workshop saranno:

  • Creare Un Sistema Ai Di Visual Object Tracking (Hands on)
  • Social Engineering 2.0: Alla Scoperta Delle Minacce DeepFake
  • Doxing Con Langflow: Stiamo Costruendo La Fine Della Privacy?
  • Come Hackerare Un Sito WordPress (Hands on)
  • Il Cyberbullismo Tra Virtuale E Reale
  • Come Entrare Nel Dark Web In Sicurezza (Hands on)
    •
    Potete iscrivervi gratuitamente all'evento, che è stato creato per poter ispirare i ragazzi verso la sicurezza informatica e la tecnologia.
    Per ulteriori informazioni, scrivi a [email protected] oppure su Whatsapp al 379 163 8765


    Supporta RHC attraverso:


    Ti piacciono gli articoli di Red Hot Cyber? Non aspettare oltre, iscriviti alla newsletter settimanale per non perdere nessun articolo.

    Attualmente sembrerebbe che Key Wolf stia utilizzando due file malevoli con nomi pressoché identici “Информирование зарегистрированных.exe” e “Информирование зарегистрированных.hta” che verrebbero inviati alle potenziali vittime – del tutto casuali come anticipato prima – via email.

    Il primo è un archivio autoestraente che contiene due file: gUBmQx.exe e LICENSE, mentre il secondo contiene uno script per il download di gUBmQx.exe che viene scaricato dalla nota e discussa piattaforma di sharing ZippyShare che, come confermato da un post sul loro blog ufficiale smetterà di funzionare a fine marzo 2023.

    Il file in questione contiene il ransomware del Key Group, a sua volta basato su un altro programma malevolo, Chaos di cui si parla in un noto forum underground fin dal giugno 2021 quando l’utente ryukRans scrisse un post condividendo un link Github per il Chaos Ransomware Builder.

    Da allora sono state rilasciate diverse versioni e, nel giugno 2022, l’utente chaos_exe ha lanciato – all’interno del medesimo forum underground – una campagna Raas(ransomware-as-a-service) – con l’intento esplicito di reclutare pentesters

    E’ particolarmente interessante notare che il ransomware di Key Wolf è stato creato utilizzando Chaos Ransomware Builder 4.0.

    Funzionamento del ransomware

    Analizziamo ora il funzionamento del ransomware di Key Wolf in dettaglio:

    La prima cosa che farà il ransomware una volta avviato sarà quella di controllare se esista un processo con lo stesso nome e, in caso affermativo (e, quindi, con il ransomware già in esecuzione), il processo appena avviato si interromperà, mentre, in caso negativo, il processo si avvierà e compierà queste azioni:

    • Se il campo checkSleep è impostato su true e se la directory di avvio non è %APPDATA%, il file .exe attenderà il numero di secondi specificato nel campo sleepTextbox.
    • Se checkAdminPrivilage è true, il file dannoso si copia in %APPDATA% e avvia un nuovo processo come amministratore utilizzando runas. Se l’operazione viene rifiutata dall’utente, la funzione riparte. Tuttavia, se i nomi coincidono ed il programma è stato lanciato da %APPDATA% la funzione si ferma (quindi non c’è recursione infinita durante l’avvio).
    • Se checkAdminPrivilage è false, ma checkCopyRoaming è true, si verifica lo stesso processo di quando checkAdminPrivilage è true, ma senza l’escalation dei privilegi tramite runas.
    • Se checkStartupFolder è true, viene creato un collegamento Web a un file dannoso in %APPDATA%\Microsoft\Windows\Start Menu\Programs\Startup, il che significa che il file verrà scaricato automaticamente.
    • Se checkAdminPrivilage è true allora si attiveranno questi processi:
    1. Se checkdeleteShadowCopies è abilitato, la funzione elimina le copie shadow utilizzando vssadmin delete shadows /all /quiet & wmic shadowcopy delete.
    2. Se checkDisableRecoveryMode è abilitato, la funzione disattiva la modalità di ripristino utilizzando bcdedit /set {default} bootstatuspolicy ignoreallfailures & bcdedit /set {default} recoveryenabled no.
    3. Se checkdeleteBackupCatalog è abilitato, la funzione elimina tutte le copie di backup utilizzando wbadmin delete catalog -quiet.
    4. Se checkSpread è true, il malware si copia su tutti i dischi tranne C. Il suo nome file è impostato nella configurazione spreadName (in questo caso, surprise.exe).
    5. A questo punto crea una nota in %APPDATA%\\\ e la apre a schermo. La nota contiene il seguente testo: We are the keygroup777 ransomware we decided to help Ukraine destroy Russian computers, you can help us and transfer money to a bitcoin wallet .
    6. A questo punto installa la seguente immagine come tema del desktop:



    Il malware andrà a cifrare ogni disco(tranne il disco C) e le seguenti cartelle in modo ricorsivo:

    • %USERPROFILE%\\Desktop
    • %USERPROFILE%\\Links
    • %USERPROFILE%\\Contacts
    • %USERPROFILE%\\Desktop
    • %USERPROFILE%\\Documents
    • %USERPROFILE%\\Downloads
    • %USERPROFILE%\\Pictures
    • %USERPROFILE%\\Music
    • %USERPROFILE%\\OneDrive
    • %USERPROFILE%\\Saved Games
    • %USERPROFILE%\\Favourites
    • %USERPROFILE%\\Searches
    • %USERPROFILE%\\Videos
    • %APPDATA%
    • %PUBLIC%\\Documents
    • %PUBLIC%\\Pictures
    • %PUBLIC%\\Music
    • %PUBLIC%\\Videos
    • %PUBLIC%\\Desktop

    A questo punto il malware andrà a controllare ogni file nelle directory(ed ovviamente nelle sotto directory) selezionate e, in base alle dimensioni, effettuerà le seguenti operazioni:

    1. Se il file è inferiore a 2,117,152 byte verrà cifrato con AES256‑CBC, la password è di 20 byte ed utilizza questo set di caratteri: abcdefghijklmnopqrstuvwxyzABCDEFGHIJKLMNOPQRSTUVWXYZ1234567890*!=&?&/ ed è generata con l’aiuto della funzione standard Random(). Dopo la crittografia la password viene scritta nen tag XML che viene crittografato con RSA1024‑OAEP e codificato in Base64.
    2. Se il file è di 2.117.152 byte o maggiore ma comunque inferiore a 200.000.000 di byte, il numero di byte casuali generati ed aggiunti al file è pari ad un quarto della dimensione del file stesso, i byte vengono aggiunti con la stessa modalità descritta sopra ed il file contiene una password cifrata irrecuperabile ed è teoricamente indecifrabile.
    3. Quando la dimensione del file supera i 200.000.000 di byte, viene aggiunto al file un numero casuale di byte compreso tra 200.000.000 e 300.000.000 di byte con la stessa procedura ed anche qui il file viene cifrato con una password randomica ed è teoricamente irrecuperabile.

    Il ransomware ha anche un’altra strana funzione, controlla se negli appunti è presente un indirizzo bitcoin e, in caso affermativo, lo sostituisce con un indirizzo riconducibile agli attaccanti.

    Allo stato attuale dei fatti possiamo affermare che questo gruppo non sembra mosso da interessi economici e la finalità dello stesso sia quella di danneggiare il maggior numero di computer russi, tuttavia, sembra sia ancora troppo presto per poter dare una matrice ed un obiettivo certo al gruppo, non sappiamo se si tratti di hacktivisti, di semplici vandali del web o, magari, di un gruppo che voglia sfruttare la situazione geopolitica internazionale per pubblicizzarsi in vista di un possibile futuro.

    Davide Santoro
    Da sempre patito di sicurezza informatica e geopolitica cerca da sempre di unire queste due passioni, ultimamente ho trovato soddisfazione nell’analisi dei gruppi ransomware, si occupa principalmente di crittografia ed è un sostenitore del software libero.

    Lista degli articoli

    Articoli in evidenza

    Sei Davvero Umano? Shock su Reddit: migliaia di utenti hanno discusso con dei bot senza saperlo

    Per anni, Reddit è rimasto uno dei pochi angoli di Internet in cui era possibile discutere in tutta sicurezza di qualsiasi argomento, dai videogiochi alle criptovalute, dalla politica alle teorie...

    GPU sotto sorveglianza! l’America vuole sapere dove finiscono le sue GPU e soprattutto se sono in Cina

    Le autorità statunitensi continuano a cercare soluzioni per fermare la fuga di chip avanzati verso la Cina, nonostante le rigide restrizioni all’esportazione in vigore. Il senatore Tom Cot...

    Qilin domina le classifiche del Ransomware! 72 vittime solo nel mese di aprile 2025!

    Il gruppo Qilin, da noi intervistato qualche tempo fa, è in cima alla lista degli operatori di ransomware più attivi nell’aprile 2025, pubblicando i dettagli di 72 vittime sul suo sit...

    Play Ransomware sfrutta 0-Day in Windows: attacco silenzioso prima della patch di aprile 2025

    Gli autori della minaccia collegati all’operazione ransomware Play hanno sfruttato una vulnerabilità zero-day in Microsoft Windows prima della sua correzione, avvenuta l’8 aprile 20...

    Allarme AgID: truffe SPID con siti altamente attendibili mettono in pericolo i cittadini

    È stata individuata una campagna di phishing mirata agli utenti SPID dal gruppo del CERT-AgID, che sfrutta indebitamente il nome e il logo della stessa AgID, insieme al dominio recentemente regis...

    Categorie
    Segui i corsi di ethical hacking di CyberSecurityUP
    Banner
    Redhotcyber è un progetto di open-news nato nel 2019 e successivamente ampliato in una rete di persone che collaborano alla divulgazione di informazioni e temi incentrati la tecnologia, l'Information Technology e la sicurezza informatica, con lo scopo di accrescere i concetti di consapevolezza del rischio ad un numero sempre più crescente di persone.

    PRINCIPALI CATEGORIE
    Attacchi Informatici Italiani
    Dark Web & Cybercrime
    0day, bug e Vulnerabilità
    Hacking
    Cybersecurity Italia
    Cyberpolitica & Intelligence

    RISORSE
    Academy
    Rubriche
    Il manifesto di Red Hot Cyber
    Feed RSS
    Contatti

    Copyright @ REDHOTCYBER Srl
    PIVA 17898011006