I ricercatori del MalwareHunterTeam hanno individuato un nuovo ransomware per Windows, denominato Akira, utilizzato per colpire almeno 16 aziende a partire dal mese di marzo. Ovviamente l’obiettivo è rubare dati riservati, impedire l’accesso ai file tramite cifratura e chiedere un riscatto che può superare il milione di dollari.
Akira: funzionamento del ransomware
Dopo aver analizzato il campione fornito dai ricercatori del MalwareHunterTeam, Bleeping Computer ha scoperto il funzionamento del ransomware. All’avvio, Akira elimina le copie shadow dei volumi per impedire il ripristino dei file dai backup. Viene quindi avviato il processo di cifratura dei file (soprattutto database e macchine virtuali). Sono ovviamente esclusi i file di sistema che consentono l’esecuzione di Windows. Al termine dell’operazione viene aggiunta l’estensione .akira.
Il malware sfrutta le API Windows Restart Manager per terminare processi e servizi che mantengono i file aperti e quindi impediscono la cifratura. Un documento di testo spiega che sono stati cancellati tutti i backup e cifrati i file. Viene indicato inoltre un sito Tor, sul quale verranno pubblicati i dati se l’azienda non pagherà il riscatto.
Finora sono state colpite 16 aziende, ma sul sito sono pubblicati i dati di quattro vittime. La somma chiesta dai cybercriminali varia tra 200.000 e un milione di dollari. Il riscatto più basso è riservato alle aziende che vogliono solo impedire la divulgazione online dei dati riservati, mentre quello più alto include il decryptor dei file.
Ti potrebbe interessare
8 mag 2023