Ransomware mangia ransomware

Il bundle Mischa/Petya manda al tappeto il rivale Chimera, svelandone le chiavi crittografiche, e si prepara a lanciare il suo programma affiliati cybercriminale

Roma – Il business dei dati presi in ostaggio sta diventando sempre più proficuo, affollato ( 720mila attacchi nel 2015-2016) e di conseguenza competitivo. A farne le spese sono gli sviluppatori del malware Chimera , le cui 3.500 chiavi crittografiche sono ora di pubblico dominio . A rivelarle sono stati i criminali dietro il ransomware concorrente Petya/Mischa , e a tutti gli effetti questo mette Chimera fuori dal giro, almeno per il momento. Gli analisti di MalwareBytes hanno già affermato che servirà un po’ di tempo per verificare l’attendibilità delle chiavi e poter sviluppare un tool di decrittazione, ma le vittime di Chimera sono “invitate a non cancellare i file crittografati, c’è una concreta possibilità di poterli salvare”.

Chimera è il primo doxingware osservato nella scena ransomware. Oltre a chiedere un riscatto per decrittare i dati della vittima, esercita anche una seconda leva per ottenere il pagamento anche da coloro che ritenessero accettabile la perdita dei file: la minaccia di divulgare tutto il contenuto pubblicamente , in chiaro. Non si ha però una conferma se qualcuna delle vittime abbia ceduto a questo tipo di minaccia o se ci sia effettivamente stato un dump di dati sensibili.

In ogni caso, ora Chimera torna in panchina. È del tutto possibile che il team fosse in attesa di una mossa simile, dopo la scoperta, sempre da parte dei laboratori Malwarebytes , che il bundle Petya/Mischa conteneva porzioni di codice sorgente di Chimera. Assieme al leak delle chiavi RSA di Chimera, gli sviluppatori di Petya/Mischa hanno anche confermato di aver bucato già qualche tempo addietro il sistema di sviluppo del rivale e trafugato anche il codice sorgente .

Petya-Mischa RaaS Welcome Screen

Un ransomware in meno è quindi una buona notizia? Non esattamente. Petya/Mischa rimane un bundle micidiale: qualora Petya non riuscisse a ottenere i privilegi di amministratore che gli consentono di praticare una crittografia dell’intero disco e del settore di boot , è pronto a subentrargli Mischa, un classico ransomware operante sui singoli file dell’utente.

Ora gli sviluppatori del bundle ransomware possono concentrarsi sul loro neonato servizio RaaS ( Ransomware-as-a-Service ). Da inizio Luglio, chiunque abbia pochi scrupoli può acquistare il ransomware sull’apposita landing page accessibile via Tor e diventarne distributore ufficiale . Le provvigioni pagate dal team variano dal 25 per cento per chi ottiene meno di 5 bitcoin di riscatti fino a 85 per cento per bottini superiori ai 125 bitcoin . Secondo Lawrence Abrams, fondatore del forum di supporto tecnico BleepingComputer, il risultato sarà “quasi certamente un maggior numero di infezioni da parte di Mischa/Petya”.

Stefano De Carlo

Fonte immagine

La tua email sarà utilizzata per comunicarti se qualcuno risponde al tuo commento e non sarà pubblicato. Dichiari di avere preso visione e di accettare quanto previsto dalla informativa privacy

  • bye scrive:
    refresh
    grazie dei consigli!Anche a me è capitato spesso. E' una cosa che odio.!
  • ... scrive:
    ma quanto siete storti??!!?!
    ma che politica del e' ricaricare la pagina e cancellarmi il post mentre sto scrivendo!?!??! solo per farmi vedere altra pubblicita'? ma andate a quel paese, installo adblock e ciao! ve la siete andata a cercare e l'avete trovata!!!!! poi dice che la gente e' cattiva... le sberle me le tirate fuori dalle mani.
    • Dave scrive:
      Re: ma quanto siete storti??!!?!
      Successo spesso anche a me, infatti ho smesso di commentare proprio per questo, è fastidioso che la pagina si ricarica mentre stai scrivendo e perdi tutto ciò che hai scritto.Saluti
      • iRoby scrive:
        Re: ma quanto siete storti??!!?!
        Succede solo se scrivi il primo commento dalla pagina della notizia.Se ci sono altri commenti, vai alla "visualizzazione classica", lì non ci sono reload.Ah con P.I. l'ad-block è d'obbligo, torna ad essere una ezine godibile come lo era tanti anni fa.
    • ehm scrive:
      Re: ma quanto siete storti??!!?!
      - Scritto da: ...
      ma andate a quel paese, installo
      adblock e ciao! ve la siete andata a cercare e
      l'avete trovata!!!!!Sfortunatamente in questo caso adblock potrebbe non bastare.Meglio impostare il proprio browser per impedire il ricaricamento automatico delle pagine.https://www.maketecheasier.com/disable-web-page-auto-refresh-for-various-browsers/https://en.wikipedia.org/wiki/UBlock_Origin
    • user_ scrive:
      Re: ma quanto siete storti??!!?!
      usa la visualizzazione classica che da lì non succede, e poi adblock ci vuole sempre. da android non so.
Chiudi i commenti