ransomware

Il ransomware come distrazione

Il cryptor HermeticRansom è stato usato come distrazione per sostenere gli attacchi HermeticWiper.

Kaspersky Team
2 Mar 2022

I nostri ricercatori hanno analizzato il malware HermeticRansom, noto anche come Elections GoRansom. In generale, questo è un cryptor abbastanza semplice. Ciò che è interessante in questo caso è lo scopo per cui gli hacker lo stanno utilizzando.

Gli obiettivi di HermeticRansom

HermeticRansom ha attaccato i computer allo stesso tempo di un altro malware noto come HermeticWiper, e sulla base delle informazioni pubblicamente disponibili dalla comunità di sicurezza, è stato utilizzato nei recenti cyber-attacchi in Ucraina. Secondo i nostri esperti, la relativa semplicità e la discutibile implementazione del flusso di lavoro del malware suggerisce che HermeticRansom è stato usato come schermo per gli attacchi di HermeticWiper.

Di cosa è capace HermeticRansom

Una volta infettato il computer della vittima, il malware per prima cosa identifica i dischi rigidi e raccoglie una lista di directory e di file che si trovano ovunque tranne che nelle cartelle Windows e Program Files. Poi cifra alcune categorie di file e li rinomina aggiungendo un tag .encrypted e l’indirizzo email degli operatori del ransomware. Il malware crea anche un file read_me.html nella cartella Desktop contenente una nota di riscatto con i contatti dei cyber criminali. La nota assomiglia a questa:

Nota di riscatto lasciata dal malware HermeticRansom

HermeticRansom cifra i file con le seguenti estensioni:
.inf, .acl, .avi, .bat, .bmp, .cab, .cfg, .chm, .cmd, .com, .crt, .css, .dat, .dip, .dll, .doc, .dot, .exe, .gif, .htm, .ico, .iso, .jpg, .mp3, .msi and odt.

Le particolarità di HermeticRansom

HermeticRansom è scritto in Golang. Non usa alcun meccanismo di offuscamento, e il metodo di cifratura stesso è piuttosto ingombrante e inefficiente. A giudicare da questi e altri segni, i nostri esperti pensano che questo malware sia stato creato in fretta.

Potete trovare un’analisi tecnica più dettagliata del malware insieme agli indicatori di compromissione sul nostro blog Securelist.

Come stare al sicuro

Le soluzioni di sicurezza di Kaspersky Lab rilevano con successo il malware HermeticRansom e minacce simili. Abbiamo una gamma di strumenti per proteggere sia i computer di casa che le infrastrutture aziendali, tra cui:

Kaspersky Internet Security: la nostra soluzione di sicurezza multipiattaforma per gli utenti domestici;
Kaspersky Endpoint Security Cloud: la nostra soluzione per la protezione del business;
Kaspersky Anti-Ransomware Tool: la nostra soluzione aziendale gratuita che può funzionare come un ulteriore livello di protezione in parallelo con i prodotti di altri fornitori.

Truffa della notifica di reimpostazione della password

Lezioni di anti-phishing: cosa dovrebbero sapere i dipendenti dell’azienda sulle false notifiche di sicurezza degli account.

Privacy e bambini

Il ransomware come distrazione

Gli obiettivi di HermeticRansom

Di cosa è capace HermeticRansom

Le particolarità di HermeticRansom

Come stare al sicuro

Come si sta evolvendo il crimeware, la nuova frontiera del RaaS (Ransomware as a service)

CryWiper: il finto ransomware

Truffa della notifica di reimpostazione della password

Consigli

Ecco perché sul vostro iPhone non dovreste mai utilizzare l’ID Apple di qualcun altro

Mese della Cybersecurity Awareness

In che modo i trojan bancari bypassano l’autenticazione a due fattori?

Sicurezza online: 6 semplici regole adatte a tutte le età

Iscriviti per ricevere le nostre notizie via e-mail

Soluzioni per gli utenti privati

Prodotti per piccole imprese

Prodotti per medie imprese

Soluzioni aziendali

Securelist

Eugene Personal Blog

Encyclopedia