Gli sviluppatori di ransomware Hive, il malware che ha colpito recentemente le Ferrovie dello Stato italiane, ha effettuato il porting del loro ransomware Linux VMware ESXi nel linguaggio di programmazione Rust e hanno aggiunto diverse nuove funzionalità che rendono più difficile per i ricercatori monitorare le conversazioni tra vittime e ransomware.
Poiché le aziende diventano sempre più dipendenti dalle macchine virtuali per il risparmio di calcolo, ridondanza e backup dei dati sempre più veloci, gli operatori di ransomware stanno creando un ransomware sempre più performante e personalizzato per questi servizi.
Il ransomware Linux in genere attacca le piattaforme di virtualizzazione VMware ESXI poiché sono le più comunemente utilizzate nelle aziende.
 Avvio delle iscrizioni al corso Cyber Offensive Fundamentals Vuoi smettere di guardare tutorial e iniziare a capire davvero come funziona la sicurezza informatica? La base della sicurezza informatica, al di là di norme e tecnologie, ha sempre un unico obiettivo: fermare gli attacchi dei criminali informatici. Pertanto "Pensa come un attaccante, agisci come un difensore". Ti porteremo nel mondo dell'ethical hacking e del penetration test come nessuno ha mai fatto prima. Per informazioni potete accedere alla pagina del corso oppure contattarci tramite WhatsApp al numero 379 163 8765 oppure scrivendoci alla casella di posta [email protected].
Se ti piacciono le novità e gli articoli riportati su di Red Hot Cyber, iscriviti immediatamente alla newsletter settimanale per non perdere nessun articolo. La newsletter generalmente viene inviata ai nostri lettori ad inizio settimana, indicativamente di lunedì. |
Sebbene il ransomware Hive utilizzi da tempo il ransomware sulla sistema operativo Linux per attaccare i server VMware ESXi, nuovi campioni mostrano che hanno aggiornato il ransomware per includere le funzionalità introdotte per la prima volta nel ransomware BlackCat/ALPHV.
Quando gli estorsionisti attaccano una vittima, cercano di negoziare un riscatto con l’obiettivo in stretta riservatezza. Tuttavia, quando un campione di ransomware fuoriesce da una organizzazione, viene immediatamente esaminato dai ricercatori, che trovano la richiesta di riscatto e possono assistere allo svolgersi delle trattative. In molti casi, i negoziati vengono resi pubblici e l’accordo per il pagamento del riscatto fallisce.
Per evitare ciò, gli operatori di BlackCat hanno rimosso dal loro encryptor gli URL delle pagine Tor in cui sono in corso le negoziazioni. Invece, l’URL viene passato come argomento della riga di comando durante l’esecuzione del ransomware. Per questo motivo, i ricercatori che studiano il ransomware non possono ottenere l’URL delle pagine in cui sono in corso le negoziazioni.
Sebbene Hive in precedenza richiedesse un nome utente e una password per accedere alla pagina di negoziazione di Tor, queste credenziali erano archiviate nell’eseguibile del ransomware, rendendole facili da ottenere.
Il nuovo ransomware Hive scoperto dal ricercatore di sicurezza Group-IB ora richiede a un utente malintenzionato di fornire un nome utente e una password di accesso come argomento della riga di comando durante l’esecuzione del malware.
Copiando questa tattica di BlackCat, anche Hive ha reso impossibile ottenere le credenziali di accesso dai campioni del ransomware, poiché ora sono disponibili solo nelle note di riscatto generate durante l’attacco.
Inoltre, Hive non utilizza più il linguaggio di programmazione Golang, ma Rust, che ne aumenta le prestazioni e rende più difficile il reverse engineering.
Ti è piaciuto questo articolo? Ne stiamo discutendo nella nostra Community su LinkedIn, Facebook e Instagram. Seguici anche su Google News, per ricevere aggiornamenti quotidiani sulla sicurezza informatica o Scrivici se desideri segnalarci notizie, approfondimenti o contributi da pubblicare.
Cyber Italia
Cyber Italia
Cultura
Cybercrime
Cybercrime