Red Hot Cyber

Sicurezza informatica, cybercrime, hack
news, e altro ancora
  • English

Hive aggiorna il ransomware. Le trattative saranno finalmente riservate?

Gli sviluppatori di ransomware Hive, il malware che ha colpito recentemente le Ferrovie dello Stato italiane, ha effettuato il porting del loro ransomware Linux VMware ESXi nel linguaggio di programmazione Rust e hanno aggiunto diverse nuove funzionalità che rendono più difficile per i ricercatori monitorare le conversazioni tra vittime e ransomware.

Poiché le aziende diventano sempre più dipendenti dalle macchine virtuali per il risparmio di calcolo, ridondanza e backup dei dati sempre più veloci, gli operatori di ransomware stanno creando un ransomware sempre più performante e personalizzato per questi servizi.

Il ransomware Linux in genere attacca le piattaforme di virtualizzazione VMware ESXI poiché sono le più comunemente utilizzate nelle aziende.

Sebbene il ransomware Hive utilizzi da tempo il ransomware sulla sistema operativo Linux per attaccare i server VMware ESXi, nuovi campioni mostrano che hanno aggiornato il ransomware per includere le funzionalità introdotte per la prima volta nel ransomware BlackCat/ALPHV.

Advertisements

Quando gli estorsionisti attaccano una vittima, cercano di negoziare un riscatto con l’obiettivo in stretta riservatezza. Tuttavia, quando un campione di ransomware fuoriesce da una organizzazione, viene immediatamente esaminato dai ricercatori, che trovano la richiesta di riscatto e possono assistere allo svolgersi delle trattative. In molti casi, i negoziati vengono resi pubblici e l’accordo per il pagamento del riscatto fallisce.

Per evitare ciò, gli operatori di BlackCat hanno rimosso dal loro encryptor gli URL delle pagine Tor in cui sono in corso le negoziazioni. Invece, l’URL viene passato come argomento della riga di comando durante l’esecuzione del ransomware. Per questo motivo, i ricercatori che studiano il ransomware non possono ottenere l’URL delle pagine in cui sono in corso le negoziazioni.

Sebbene Hive in precedenza richiedesse un nome utente e una password per accedere alla pagina di negoziazione di Tor, queste credenziali erano archiviate nell’eseguibile del ransomware, rendendole facili da ottenere.

Il nuovo ransomware Hive scoperto dal ricercatore di sicurezza Group-IB ora richiede a un utente malintenzionato di fornire un nome utente e una password di accesso come argomento della riga di comando durante l’esecuzione del malware.

Advertisements

Copiando questa tattica di BlackCat, anche Hive ha reso impossibile ottenere le credenziali di accesso dai campioni del ransomware, poiché ora sono disponibili solo nelle note di riscatto generate durante l’attacco.

Inoltre, Hive non utilizza più il linguaggio di programmazione Golang, ma Rust, che ne aumenta le prestazioni e rende più difficile il reverse engineering.