Stefano De Carlo

Ransomware mangia ransomware

Il bundle Mischa/Petya manda al tappeto il rivale Chimera, svelandone le chiavi crittografiche, e si prepara a lanciare il suo programma affiliati cybercriminale

Roma - Il business dei dati presi in ostaggio sta diventando sempre più proficuo, affollato (720mila attacchi nel 2015-2016) e di conseguenza competitivo. A farne le spese sono gli sviluppatori del malware Chimera, le cui 3.500 chiavi crittografiche sono ora di pubblico dominio. A rivelarle sono stati i criminali dietro il ransomware concorrente Petya/Mischa, e a tutti gli effetti questo mette Chimera fuori dal giro, almeno per il momento. Gli analisti di MalwareBytes hanno già affermato che servirà un po' di tempo per verificare l'attendibilità delle chiavi e poter sviluppare un tool di decrittazione, ma le vittime di Chimera sono "invitate a non cancellare i file crittografati, c'è una concreta possibilità di poterli salvare".

Chimera è il primo doxingware osservato nella scena ransomware. Oltre a chiedere un riscatto per decrittare i dati della vittima, esercita anche una seconda leva per ottenere il pagamento anche da coloro che ritenessero accettabile la perdita dei file: la minaccia di divulgare tutto il contenuto pubblicamente, in chiaro. Non si ha però una conferma se qualcuna delle vittime abbia ceduto a questo tipo di minaccia o se ci sia effettivamente stato un dump di dati sensibili.

In ogni caso, ora Chimera torna in panchina. È del tutto possibile che il team fosse in attesa di una mossa simile, dopo la scoperta, sempre da parte dei laboratori Malwarebytes, che il bundle Petya/Mischa conteneva porzioni di codice sorgente di Chimera. Assieme al leak delle chiavi RSA di Chimera, gli sviluppatori di Petya/Mischa hanno anche confermato di aver bucato già qualche tempo addietro il sistema di sviluppo del rivale e trafugato anche il codice sorgente.
Petya-Mischa RaaS Welcome Screen

Un ransomware in meno è quindi una buona notizia? Non esattamente. Petya/Mischa rimane un bundle micidiale: qualora Petya non riuscisse a ottenere i privilegi di amministratore che gli consentono di praticare una crittografia dell'intero disco e del settore di boot, è pronto a subentrargli Mischa, un classico ransomware operante sui singoli file dell'utente.

Ora gli sviluppatori del bundle ransomware possono concentrarsi sul loro neonato servizio RaaS (Ransomware-as-a-Service). Da inizio Luglio, chiunque abbia pochi scrupoli può acquistare il ransomware sull'apposita landing page accessibile via Tor e diventarne distributore ufficiale. Le provvigioni pagate dal team variano dal 25 per cento per chi ottiene meno di 5 bitcoin di riscatti fino a 85 per cento per bottini superiori ai 125 bitcoin. Secondo Lawrence Abrams, fondatore del forum di supporto tecnico BleepingComputer, il risultato sarà "quasi certamente un maggior numero di infezioni da parte di Mischa/Petya".

Stefano De Carlo

Fonte immagine
Notizie collegate
  • SicurezzaCome cambia il ransomwareGli autori di malware ricattatori si inventano nuove strategie, dalle chiavi crittografiche salvate offline alla minaccia di pubblicare online i file della vittima. Dall'FBI arriva un monito sorprendente, ancorché pratico: pagate il riscatto. A ProtonMail, però, non è servito
  • SicurezzaPetya, il ransomware da Master Boot RecordL'ennesima genìa del codice malevolo che prende in ostaggio i file è in grado di rendere inutilizzabile il PC fino al pagamento della somma di denaro richiesta in BTC. Una vocazione distruttiva che richiama al passato
  • SicurezzaPetya, decodificato il ransomwareUno sviluppatore pubblica il necessario per ripulire i PC infetti dal malware e rendere i dischi fissi criptati di nuovo accessibili. Il cyber-crimine, almeno in questo caso, non paga. In attesa di varianti future a prova di decodifica
1 Commenti alla Notizia Ransomware mangia ransomware
Ordina
  • Mischa/Petya,         (G)
    per favore va via,    (A-)
    tanto tu in casa mia (D7/F#)
    no, non entrerai mai (G)

    Certo è proprio una tristezza apprendere che "chiunque abbia pochi scrupoli può acquistare il ransomware sull'apposita landing page accessibile via Tor e diventarne distributore ufficiale".

    Ai miei tempi, ovvero ai bei tempi, l'informatica nascente era campo di fervido impegno delle menti migliori per dare all'umanità qualcosa di ben più importante del reclutamento di cani e porci per scopi abietti.
    .
    -----------------------------------------------------------
    Modificato dall' autore il 12 agosto 2016 23.24
    -----------------------------------------------------------