I ricercatori di TrendMicro hanno avviato una analisi su di un nuovo malware apparso in natura e segnalato da MalwareHunterTeam in un post che ha attirato la loro attenzione.
Secondo il rapporto TrendMicro sarebbero state rilevate diverse versioni del malware tra il 26 febbraio e il 2 marzo 2022 il cui studio ha permesso di definire maggiori dettagli.
In particolare, sembrerebbe che fino adesso il malware soprannominato dal suo sviluppatore come “RUransom” sarebbe stato programmato per colpire solo target russi, causando la distruzione irreversibile dei file crittografati nei sistemi colpiti.
Ciò ha portato i ricercatori a classificare il malware come wiper e non come suggerirebbe il nome una variante ransomware.
La nota ostile
Come si vede nel codice in figura, la nota tradotta dalla lingua originale Bangla in Russo, manifesta l’ostilità del suo sviluppatore.
Ecco un frammento del testo tradotto in italiano:
“Il 24 febbraio, il presidente Vladimir Putin ha dichiarato guerra all’Ucraina. Per contrastare questo, io, il creatore di RU_Ransom, ho creato questo malware per danneggiare la Russia… Non c’è modo di decifrare i suoi file. Nessun pagamento, solo danni.”
La nota che si potrebbe definire di distruzione piuttosto che del ricatto è contenuta all’interno di un file di testo “Полномасштабное_кибервторжение.txt” (Invasione_informatica_ in_ piena_ regola.txt) e rilasciata su ciascuna directory del sistema colpito.
RuRansom, la crittografia irreversibile
Il malware è scritto nel linguaggio di programmazione .NET e si diffonde come un worm copiando l’eseguibile “Россия-Украина_Война-Обновление.doc.exe” (Russia-Ucraina_Aggiornamento_sulla_guerra.doc.exe”) su tutti i dischi rimovibili e le condivisioni di rete mappate.
Successivamente, il malware inizia quindi la crittografia secondo l’algoritmo AES-CBC che viene applicato a tutti i file, eccezion fatta per quelli “.bak” che vengono invece direttamente eliminati, con una chiave generata casualmente e univocamente per ogni file crittografato. Tali chiavi non venendo archiviate rendono di fatto la crittografia irreversibile.
Considerazioni finali
Secondo i ricercatori all’autore/gruppo responsabile del wiper RURansom ancora in fase di sviluppo, sarebbe attribuibile anche la creazione di altri malware come “dnWipe” e un binario XMRig impiegato per il mining di criptovalute.
I ricercatori non escludono la possibilità che lo sviluppatore continuerà ad aggiornare il proprio malware nel tentativo di continuare a infliggere danni alla Russia.
“Consideriamo RURansom solo un tentativo in un elenco crescente di attacchi che mirano a sostenere una posizione fortemente sposata da un individuo o da un gruppo. Anche se non abbiamo ancora trovato vittime di questo malware, vedere l’evoluzione del suo codice ci fa credere che il suo sviluppatore continuerà ad aggiornare il proprio malware nel tentativo di infliggere una qualche forma di danno alla Russia”, si legge nel rapporto che conclude “In generale, la tesa situazione geopolitica ha aggiunto un vantaggio agli attacchi informatici. In definitiva, mantenere alte le difese, rimanere vigili contro la disinformazione e monitorare la situazione è essenziale per districarsi in questo incerto stato delle cose“
Seguono gli IoC
