Red Hot Cyber, il blog italiano sulla sicurezza informatica
Red Hot Cyber
La cybersecurity è condivisione. Riconosci il rischio, combattilo, condividi le tue esperienze ed incentiva gli altri a fare meglio di te.
Cerca
Red Hot Cyber Academy

RuRansom: il malware distruttivo che attacca la Russia.

Redazione RHC : 16 Aprile 2022 08:36

RuRansom è un ransomware che prende di mira i sistemi russi. Durante la guerra informatica in corso tra Russia e Ucraina, si è già assistito a diversi attacchi di malware come WhisperGate, IsaacWiper ed HermeticWiper.

RuRansom è una nuova aggiunta a questa serie di malware distruttivo. È appositamente progettato per distruggere il backup e i dati della vittima.

Gli specialisti della divisione di analisi delle minacce informatiche di VMware, hanno pubblicato un’analisi del malware RuRansom andando a rilevare che il malware attacca solo i sistemi in Russia.

Il blocco di codice che mostra che il malware è finalizzato a colpire la russia. Fonte VMWare

Vuoi diventare un esperto del Dark Web e della Cyber Threat Intelligence (CTI)?
Stiamo per avviare il corso intermedio in modalità "Live Class", previsto per febbraio.
A differenza dei corsi in e-learning, disponibili online sulla nostra piattaforma con lezioni pre-registrate, i corsi in Live Class offrono un’esperienza formativa interattiva e coinvolgente.
Condotti dal professor Pietro Melillo, le lezioni si svolgono online in tempo reale, permettendo ai partecipanti di interagire direttamente con il docente e approfondire i contenuti in modo personalizzato. Questi corsi, ideali per aziende, consentono di sviluppare competenze mirate, affrontare casi pratici e personalizzare il percorso formativo in base alle esigenze specifiche del team, garantendo un apprendimento efficace e immediatamente applicabile.
Per ulteriori informazioni, scrivici ad [email protected] oppure scrivici su Whatsapp al 379 163 8765 

Supporta RHC attraverso:


Ti piacciono gli articoli di Red Hot Cyber? Non aspettare oltre, iscriviti alla newsletter settimanale per non perdere nessun articolo.

Per la prima volta, gli esperti della società di sicurezza delle informazioni Trend Micro hanno parlato di RuRansom a marzo di quest’anno.

Sebbene il nome del malware utilizzi la parola “riscatto”, RuRansom non è un ransomware, ma un wiper, poiché distrugge permanentemente i file crittografati delle sue vittime.

Nella richiesta di riscatto, che di solito viene visualizzata dal ransomware, l’autore del malware afferma le sue vere motivazioni. Secondo lui, ha creato RuRansom al solo scopo di causare danni alla Russia.

“Non c’è modo di de crittografare i tuoi file. Nessun pagamento, solo danni”

diceva la nota.

Il viper è scritto nel linguaggio di programmazione .NET e si diffonde come un worm.

In fase di esecuzione, chiama immediatamente la funzione IsRussia(), controlla l’indirizzo IP pubblico del sistema utilizzando il servizio https://api[.]ipify[.]org .

Utilizzando l’indirizzo IP, il malware determina la posizione della macchina utilizzando l’URL https://ip-api[.]com/#.

Se i dati sulla posizione della macchina non contengono la parola “Russia”, viene visualizzata la notifica “Solo gli utenti russi possono eseguire il programma” e l’esecuzione si interrompe.

Indicatori di compromissione (IOCs) 

Indicator Type Context 
fb4f3d9421cf8d35de950ad52ff4dca3a0c3e84c3c770c09c3cf6bbcc540e9d4 SHA256 RURansom 
d02ede8735c319012923efc6d4befa78f39fcb6c4ce40cb37a45b419a2efc923 SHA256 RURansom 
009ce5fcce062d699db46559badcf259eb925fcfcf374c0bdea8eb13d5750edf SHA256 RURansom 
ae00bb69f06936ac9afb0475d4b3ddf592e4c61e68327be2051211533a57d919 SHA256 RURansom 
70e8a9b39aa7dd91c461c32ddfeb090b3699e5984beb610787c92afd24ad546b SHA256 RURansom 
a932b37f6ebadfca08beb990cf784ac247317abbc42c72a9961f8d4a1fe7e1fb SHA256 RURansom 
26e75390015ba36c2723d35ed7a227064892979ad331e0a728e39673feaa24c2 SHA256 RURansom 
2548ad9263dd94109ab22393a08f77364d96c48b0b96640cb530818adb9c08f0 SHA256 RURansom 
e0c4021b38f4d2f1e13d0a8374c8ef081be458fc3031e7ad49795a65a013cb43 SHA256 RURansom 
ceebcd4472623db39026ae89dc0737d0cdec631cd763d9717d0f4a822a3a2085 SHA256 RURansom 
107da216ad99b7c0171745fe7f826e51b27b1812d435b55c3ddb801e23137d8f SHA256 RURansom 
1f36898228197ee30c7b0ec0e48e804caa6edec33e3a91eeaf7aa2c5bbb9c6e0 SHA256 RURansom 
696b6b9f43e53387f7cef14c5da9b6c02b6bf4095849885d36479f8996e7e473 SHA256 RURansom 
5104c127b4d56ffe93016582401c250630f6d274 SHA1 RURansom 
ed2b4ef1c2f1814c40326a094f8874c683dec68b SHA1 RURansom 
97dae0c8fc302b6cbbc2e31c756909a16630d9c5 SHA1 RURansom 
34b9694fe6f5adb63f58217f80b4abb53c48e320 SHA1 RURansom 
df4a28bdd8b743c16d2c9917c6d39030c07f2c09 SHA1 RURansom 
8746ab9039ad88ebf8aa822473fa2f9947131d19 SHA1 RURansom 
b1261722dd055dc6a5e2d2f3839a91390eac24e8 SHA1 RURansom 
085b697d49b103c4a42b20aa8b2f5c4730212653 SHA1 RURansom 
dd2a120b485cbf9ff7dd7435ee1d1a3fc4596862 SHA1 RURansom 
06c6dc34a9728f67038a7d41bcbe2372a9c4e6e4 SHA1 RURansom 
a30bf5d046b6255fa2c4b029abbcf734824a7f15 SHA1 RURansom 
c35ab665f631c483e6ec315fda0c01ba4558c8f2 SHA1 RURansom 
c6ef59aa3f0cd1bb727e2464bb728ab79342ad32 SHA1 RURansom 
5028a73d50a0a2bd0abe6a24c660cb65 MD5 RURansom 
4ecd4debe942f6a5e45732d8d073b5ec MD5 RURansom 
318d857c4b4c12b1b5d67f37fad616e9 MD5 RURansom 
a6988a9060278741c0ba3e9028de1f97 MD5 RURansom 
9d298f3eaff0db4fb1f5b3160911e3ee MD5 RURansom 
a938dbd999f4a1ba7d537c9181c8d902 MD5 RURansom 
84e5cf74ecbed6caa3e88b1e00e1dc0d MD5 RURansom 
e5e98aa9efcd4bd83245524ff430b28e MD5 RURansom 
013addcf6e3f3a2e7ff441ccdc0433ce MD5 RURansom 
94a65c7f033faf7efb1348df4a79f498 MD5 RURansom 
8fe6f25fc7e8c0caab2fdca8b9a3be89 MD5 RURansom 
01ae141dd0fb97e69e6ea7d6bf22ab32 MD5 RURansom 
9c3316a9ff084ed4d0d072df5935f52d MD5 RURansom 

Redazione
La redazione di Red Hot Cyber è composta da un insieme di persone fisiche e fonti anonime che collaborano attivamente fornendo informazioni in anteprima e news sulla sicurezza informatica e sull'informatica in generale.

Lista degli articoli

Articoli in evidenza

Hai seguito un bel tutorial su TikTok e non sei stato attento? Bravo, ti sei beccato un malware!

In un preoccupante segnale dell’evoluzione delle tattiche cybercriminali, i threat actor stanno ora sfruttando la popolarità di TikTok come canale per la distribuzione di malware avanzati ...

Lumma Stealer: inizio del takedown o solo una mossa tattica?

Nelle ultime ore si è assistito a un grande clamore mediatico riguardante il “takedown” dell’infrastruttura del noto malware-as-a-service Lumma Stealer, con un’operazi...

Skitnet: Il Malware che Sta Conquistando il Mondo del Ransomware

Gli esperti hanno lanciato l’allarme: i gruppi ransomware stanno utilizzando sempre più spesso il nuovo malware Skitnet (noto anche come Bossnet) per lo sfruttamento successivo delle ...

Bypass di Microsoft Defender mediante Defendnot: Analisi Tecnica e Strategie di Mitigazione

Nel panorama delle minacce odierne, Defendnot rappresenta un sofisticato malware in grado di disattivare Microsoft Defender sfruttando esclusivamente meccanismi legittimi di Windows. A differenza di a...

Falso Mito: Se uso una VPN, sono completamente al sicuro anche su reti WiFi Aperte e non sicure

Molti credono che l’utilizzo di una VPN garantisca una protezione totale durante la navigazione, anche su reti WiFi totalmente aperte e non sicure. Sebbene le VPN siano strumenti efficaci per c...

Categorie
Segui i corsi di ethical hacking di CyberSecurityUP
Banner
Redhotcyber è un progetto di open-news nato nel 2019 e successivamente ampliato in una rete di persone che collaborano alla divulgazione di informazioni e temi incentrati la tecnologia, l'Information Technology e la sicurezza informatica, con lo scopo di accrescere i concetti di consapevolezza del rischio ad un numero sempre più crescente di persone.

PRINCIPALI CATEGORIE
Attacchi Informatici Italiani
Dark Web & Cybercrime
0day, bug e Vulnerabilità
Hacking
Cybersecurity Italia
Cyberpolitica & Intelligence

RISORSE
Academy
Rubriche
Il manifesto di Red Hot Cyber
Feed RSS
Contatti

Copyright @ REDHOTCYBER Srl
PIVA 17898011006