Da maggio, una nuova variante di ransomware chiamata Rhysida è stata rilasciata insieme a un nuovo malware stealer denominato Lumar, creando una potente combinazione contro gli utenti del popolare sistema di pagamento brasiliano PIX.
Secondo i ricercatori di Kaspersky, Rhysida funziona come un’operazione di ransomware-as-a-service (RaaS) con una capacità dimostrata di evolversi rapidamente. “Si distingue per il suo unico meccanismo di auto-eliminazione e la compatibilità con le versioni di Microsoft precedenti a Windows 10. Scritto in C++ e compilato con MinGW e librerie condivise, Rhysida dimostra una sofisticata progettazione”, ha affermato Kaspersky riguardo al gruppo. “Anche se relativamente nuovo, Rhysida ha affrontato iniziali sfide di configurazione con il suo server onion, rivelando una rapida capacità di adattamento e apprendimento del gruppo.”
La campagna di ransomware mirata a PIX è in corso da dicembre 2022, ha notato il team di Kaspersky, aggiungendo che Rhysida è stato distribuito insieme a un malware-as-a-service (MaaS) infostealer chiamato Lumar per prendere di mira gli utenti del sistema di pagamento. Lumar è emerso per la prima volta nel luglio 2023 e può rubare dati sulle sessioni di Telegram, password, cookie, informazioni di riempimento automatico, file desktop e persino portafogli crittografici. Notabilmente, il team di Kaspersky ha affermato che il stealer Lumar è compatto, senza sacrificare la funzionalità. “La raccolta efficiente dei dati del malware è facilitata dall’uso di tre thread separati”, ha aggiunto il rapporto. “Il C2, ospitato dall’autore del malware come Malware as a Service (MaaS), offre funzionalità user-friendly come statistiche e registri dei dati. Gli utenti possono scaricare l’ultima versione di Lumar e ricevere notifiche Telegram per i dati in arrivo.”