Redazione RHC : 16 Aprile 2022 08:36
RuRansom è un ransomware che prende di mira i sistemi russi. Durante la guerra informatica in corso tra Russia e Ucraina, si è già assistito a diversi attacchi di malware come WhisperGate, IsaacWiper ed HermeticWiper.
RuRansom è una nuova aggiunta a questa serie di malware distruttivo. È appositamente progettato per distruggere il backup e i dati della vittima.
Gli specialisti della divisione di analisi delle minacce informatiche di VMware, hanno pubblicato un’analisi del malware RuRansom andando a rilevare che il malware attacca solo i sistemi in Russia.
Vorresti toccare con mano la Cybersecurity e la tecnologia? Iscriviti GRATIS ai WorkShop Hands-On della RHC Conference 2025 (Giovedì 8 maggio 2025)
Se sei un ragazzo delle scuole medie, superiori o frequenti l'università, oppure banalmente un curioso di qualsiasi età, il giorno giovedì 8 maggio 2025 presso il teatro Italia di Roma (a due passi dalla stazione termini e dalla metro B di Piazza Bologna), si terranno i workshop "hands-on", creati per far avvicinare i ragazzi alla sicurezza informatica e alla tecnologia. Questo anno i workshop saranno:
Supporta RHC attraverso:
Ti piacciono gli articoli di Red Hot Cyber? Non aspettare oltre, iscriviti alla newsletter settimanale per non perdere nessun articolo.
Per la prima volta, gli esperti della società di sicurezza delle informazioni Trend Micro hanno parlato di RuRansom a marzo di quest’anno.
Sebbene il nome del malware utilizzi la parola “riscatto”, RuRansom non è un ransomware, ma un wiper, poiché distrugge permanentemente i file crittografati delle sue vittime.
Nella richiesta di riscatto, che di solito viene visualizzata dal ransomware, l’autore del malware afferma le sue vere motivazioni. Secondo lui, ha creato RuRansom al solo scopo di causare danni alla Russia.
“Non c’è modo di de crittografare i tuoi file. Nessun pagamento, solo danni”
diceva la nota.
Il viper è scritto nel linguaggio di programmazione .NET e si diffonde come un worm.
In fase di esecuzione, chiama immediatamente la funzione IsRussia(), controlla l’indirizzo IP pubblico del sistema utilizzando il servizio https://api[.]ipify[.]org .
Utilizzando l’indirizzo IP, il malware determina la posizione della macchina utilizzando l’URL https://ip-api[.]com/#.
Se i dati sulla posizione della macchina non contengono la parola “Russia”, viene visualizzata la notifica “Solo gli utenti russi possono eseguire il programma” e l’esecuzione si interrompe.
Indicatori di compromissione (IOCs)
Indicator | Type | Context |
fb4f3d9421cf8d35de950ad52ff4dca3a0c3e84c3c770c09c3cf6bbcc540e9d4 | SHA256 | RURansom |
d02ede8735c319012923efc6d4befa78f39fcb6c4ce40cb37a45b419a2efc923 | SHA256 | RURansom |
009ce5fcce062d699db46559badcf259eb925fcfcf374c0bdea8eb13d5750edf | SHA256 | RURansom |
ae00bb69f06936ac9afb0475d4b3ddf592e4c61e68327be2051211533a57d919 | SHA256 | RURansom |
70e8a9b39aa7dd91c461c32ddfeb090b3699e5984beb610787c92afd24ad546b | SHA256 | RURansom |
a932b37f6ebadfca08beb990cf784ac247317abbc42c72a9961f8d4a1fe7e1fb | SHA256 | RURansom |
26e75390015ba36c2723d35ed7a227064892979ad331e0a728e39673feaa24c2 | SHA256 | RURansom |
2548ad9263dd94109ab22393a08f77364d96c48b0b96640cb530818adb9c08f0 | SHA256 | RURansom |
e0c4021b38f4d2f1e13d0a8374c8ef081be458fc3031e7ad49795a65a013cb43 | SHA256 | RURansom |
ceebcd4472623db39026ae89dc0737d0cdec631cd763d9717d0f4a822a3a2085 | SHA256 | RURansom |
107da216ad99b7c0171745fe7f826e51b27b1812d435b55c3ddb801e23137d8f | SHA256 | RURansom |
1f36898228197ee30c7b0ec0e48e804caa6edec33e3a91eeaf7aa2c5bbb9c6e0 | SHA256 | RURansom |
696b6b9f43e53387f7cef14c5da9b6c02b6bf4095849885d36479f8996e7e473 | SHA256 | RURansom |
5104c127b4d56ffe93016582401c250630f6d274 | SHA1 | RURansom |
ed2b4ef1c2f1814c40326a094f8874c683dec68b | SHA1 | RURansom |
97dae0c8fc302b6cbbc2e31c756909a16630d9c5 | SHA1 | RURansom |
34b9694fe6f5adb63f58217f80b4abb53c48e320 | SHA1 | RURansom |
df4a28bdd8b743c16d2c9917c6d39030c07f2c09 | SHA1 | RURansom |
8746ab9039ad88ebf8aa822473fa2f9947131d19 | SHA1 | RURansom |
b1261722dd055dc6a5e2d2f3839a91390eac24e8 | SHA1 | RURansom |
085b697d49b103c4a42b20aa8b2f5c4730212653 | SHA1 | RURansom |
dd2a120b485cbf9ff7dd7435ee1d1a3fc4596862 | SHA1 | RURansom |
06c6dc34a9728f67038a7d41bcbe2372a9c4e6e4 | SHA1 | RURansom |
a30bf5d046b6255fa2c4b029abbcf734824a7f15 | SHA1 | RURansom |
c35ab665f631c483e6ec315fda0c01ba4558c8f2 | SHA1 | RURansom |
c6ef59aa3f0cd1bb727e2464bb728ab79342ad32 | SHA1 | RURansom |
5028a73d50a0a2bd0abe6a24c660cb65 | MD5 | RURansom |
4ecd4debe942f6a5e45732d8d073b5ec | MD5 | RURansom |
318d857c4b4c12b1b5d67f37fad616e9 | MD5 | RURansom |
a6988a9060278741c0ba3e9028de1f97 | MD5 | RURansom |
9d298f3eaff0db4fb1f5b3160911e3ee | MD5 | RURansom |
a938dbd999f4a1ba7d537c9181c8d902 | MD5 | RURansom |
84e5cf74ecbed6caa3e88b1e00e1dc0d | MD5 | RURansom |
e5e98aa9efcd4bd83245524ff430b28e | MD5 | RURansom |
013addcf6e3f3a2e7ff441ccdc0433ce | MD5 | RURansom |
94a65c7f033faf7efb1348df4a79f498 | MD5 | RURansom |
8fe6f25fc7e8c0caab2fdca8b9a3be89 | MD5 | RURansom |
01ae141dd0fb97e69e6ea7d6bf22ab32 | MD5 | RURansom |
9c3316a9ff084ed4d0d072df5935f52d | MD5 | RURansom |
Negli ultimi giorni, NS Power, una delle principali aziende elettriche canadesi, ha confermato di essere stata vittima di un attacco informatico e ha pubblicato degli update all’interno della H...
1° Maggio, un giorno per onorare chi lavora, chi lotta per farlo in modo dignitoso e chi, troppo spesso, perde la vita mentre svolge la propria mansione. Nel 2025, l’Italia continua a pian...
Domani celebreremo uno degli elementi più iconici – e al tempo stesso vulnerabili – della nostra vita digitale: la password. Da semplice chiave d’accesso inventata negli anni...
Ci sono luoghi nel web dove la normalità cede il passo all’illecito, dove l’apparenza di un marketplace moderno e funzionale si trasforma in una vetrina globale per ogni tipo di rea...
Le backdoor come sappiamo sono ovunque e qualora presenti possono essere utilizzate sia da chi le ha richieste ma anche a vantaggio di chi le ha scoperte e questo potrebbe essere un caso emblematico s...
Copyright @ REDHOTCYBER Srl
PIVA 17898011006