BlackMagic ransomware. Crittografa i dati e li rivende sui social network

La società di sicurezza informatica Cyble ha scoperto un nuovo gruppo politicamente motivato, BlackMagic ransomware, presumibilmente collegato all’Iran e che prende di mira le aziende in Israele.

Secondo gli analisti di Cyble, il gruppo ransomware utilizza un doppio metodo: prima estrae i file della vittima e poi li crittografa. BlackMagic ha sul suo conto più di 10 aziende vittime, tutte israeliane ma di origine iraniana.

È interessante notare che la richiesta di riscatto non contiene informazioni sul riscatto stesso. 

Invece, gli hacker indicano i loro social network utilizzati per divulgare i dati della vittima. Ciò significa che il gruppo ransomware è interessato a vendere i dati rubati e non a ottenere un riscatto dalle proprie vittime.

BlackMagic sostiene di aver sottratto 50GB di dati alle compagnie di trasporto in Israele, oltre ai dati sensibili di oltre il 65% dei cittadini del Paese. 

Secondo i ricercatori, gli hacker stanno vendendo dati rubati su diversi forum di criminalità informatica. Gli aggressori “deturpano” anche il sito web della vittima.

“Distruggere le società di logistica e impedire l’invio dei pacchi”

ha affermato BlackMagic in una dichiarazione nelle darknet.

Inoltre, nel processo di crittografia dei dati, gli aggressori inseriscono una richiesta di riscatto in tutte le cartelle del sistema di destinazione, quindi aggiungono l’estensione “.BlackMagic” ai file.

Successivamente, gli hacker creano un file BAT sull’unità C, che rimuove tutte le tracce dopo che i dati sono stati crittografati. 

Il file BAT sostituisce anche lo sfondo del desktop del dispositivo compromesso con un’immagine che è probabilmente il logo BlackMagic. L’immagine contiene i loghi delle precedenti vittime del gruppo.

Sulla base delle attività di BlackMagic, gli esperti sospettano che gli hacker siano politicamente motivati, ma non è chiaro come si svilupperanno in futuro.

Ti è piaciuto questo articolo? Ne stiamo discutendo nella nostra Community su LinkedIn, Facebook e Instagram. Seguici anche su Google News, per ricevere aggiornamenti quotidiani sulla sicurezza informatica o Scrivici se desideri segnalarci notizie, approfondimenti o contributi da pubblicare.

Redazione

La Redazione di Red Hot Cyber fornisce aggiornamenti quotidiani su bug, data breach e minacce globali. Ogni contenuto è validato dalla nostra community di esperti come Pietro Melillo, Massimiliano Brolli, Sandro Sana, Olivia Terragni e Stefano Gazzella. Grazie alla sinergia con i nostri Partner leader nel settore (tra cui Accenture, CrowdStrike, Trend Micro e Fortinet), trasformiamo la complessità tecnica in consapevolezza collettiva, garantendo un'informazione accurata basata sull'analisi di fonti primarie e su una rigorosa peer-review tecnica.