Red Hot Cyber
Sicurezza Informatica, Notizie su Cybercrime e Analisi Vulnerabilità
La società di sicurezza informatica Cyble ha scoperto un nuovo gruppo politicamente motivato, BlackMagic ransomware, presumibilmente collegato all’Iran e che prende di mira le aziende in Israele.
Secondo gli analisti di Cyble, il gruppo ransomware utilizza un doppio metodo: prima estrae i file della vittima e poi li crittografa. BlackMagic ha sul suo conto più di 10 aziende vittime, tutte israeliane ma di origine iraniana.
È interessante notare che la richiesta di riscatto non contiene informazioni sul riscatto stesso.
Invece, gli hacker indicano i loro social network utilizzati per divulgare i dati della vittima. Ciò significa che il gruppo ransomware è interessato a vendere i dati rubati e non a ottenere un riscatto dalle proprie vittime.
.png)
BlackMagic sostiene di aver sottratto 50GB di dati alle compagnie di trasporto in Israele, oltre ai dati sensibili di oltre il 65% dei cittadini del Paese.
Secondo i ricercatori, gli hacker stanno vendendo dati rubati su diversi forum di criminalità informatica. Gli aggressori “deturpano” anche il sito web della vittima.
.png)
“Distruggere le società di logistica e impedire l’invio dei pacchi”
ha affermato BlackMagic in una dichiarazione nelle darknet.
Inoltre, nel processo di crittografia dei dati, gli aggressori inseriscono una richiesta di riscatto in tutte le cartelle del sistema di destinazione, quindi aggiungono l’estensione “.BlackMagic” ai file.
Successivamente, gli hacker creano un file BAT sull’unità C, che rimuove tutte le tracce dopo che i dati sono stati crittografati.
Il file BAT sostituisce anche lo sfondo del desktop del dispositivo compromesso con un’immagine che è probabilmente il logo BlackMagic. L’immagine contiene i loghi delle precedenti vittime del gruppo.
Sulla base delle attività di BlackMagic, gli esperti sospettano che gli hacker siano politicamente motivati, ma non è chiaro come si svilupperanno in futuro.
