I ricercatori di Kaspersky hanno scoperto un nuovo malware distruttivo, camuffato come ransomware. Ignoti cybercriminali hanno utilizzato CryWiper per colpire alcuni tribunali in Russia, chiedendo il pagamento di un riscatto per ottenere il decryptor. In realtà non è stato cifrato nessun file, ma i dati sono stati completamente distrutti.
CryWiper: nuovo distruttore di dati
Lo scopo degli attacchi ransomware è quello di ottenere profitti illeciti, ma negli ultimi anni sono aumentati gli attacchi il cui unico obiettivo è causare danni alle vittime. Tra i wiper più noti del 2022 ci sono IsaacWiper, HermeticWiper, CaddyWiper, WhisperGate, AcidRain e Industroyer2. La new entry, scoperta da Kaspersky, si chiama CryWiper.
Il malware, scritto in linguaggio C++, viene distribuito tramite l’eseguibile browserupdate.exe
. All’avvio viene creata un’attività pianificata per l’esecuzione automatica ogni 5 minuti. CryWiper contatta quindi il server C&C (command and control), inviando le informazioni del computer, in base alle quali viene stabilito se avviare o meno le attività di infezione (in alcuni casi dopo 4 giorni).
Il malware ferma tutti i processi relativi a MySQL, Microsoft SQL, Microsoft Exchange e Microsoft Active Directory. Successivamente cancella le copie shadow dei volumi e modifica una chiave nel registro per impedire l’accesso remoto tramite i tool usati dagli specialisti IT. A questo punto inizia la distruzione dei file, aggiungendo dati casuali.
Al termine dell’operazione viene mostrato il tradizionale testo con le istruzioni da seguire per pagare il riscatto. Ovviamente non si tratta di un ransomware, dato che i dati non possono essere più recuperati.