• 2 anni ago
  • 2Minutes
  • 310Words
  • 77Views

Èstato ribattezzato Kernsomware il nuovo ransomware sviluppato in Italia che, sebbene ancora in fase di test, ha tutte le carte in regola per arrecare notevoli danni ad aziende e privati nel nostro Paese (e non solo) con la solita tecnica del limitare l’accesso al dispositivo infetto mediante la cifratura dei file e delle cartelle archiviate nell’hard disk, richiedendo poi il pagamento di un riscatto (ransom in inglese) per fornire alla vittima la chiave di decodifica necessaria a rimuovere la limitazione.

Kernsomware è dunque il terzo ransomware sviluppato in Italia dopo FuckUnicorn (che si è diffuso nel mese di giugno 2020 camuffato da app Immuni) e Ransomware2.0, il malware razzista contro i napoletani, isolato lo scorso mese di febbraio: ciò a conferma del fatto che anche in Italia i malware writer sono particolarmente attivi in questo periodo.

Tutti i dettagli del ransomware Kernsomware

Dall’analisi del sample di Kernsomware isolato dai ricercatori risulta evidente che il ransomware si trova ancora in una fase di sviluppo, anche se tutte le sue funzioni malevoli sono pronte per essere attivate in qualsiasi momento.

È sufficiente, infatti, che i malware writer rivedano il codice sorgente generalizzando i path assoluti delle singole variabili utilizzate per testare, in particolare, proprio il processo di cifratura di Kernsomware.

La prima azione che la versione beta del ransomware Kernsomware esegue appena attivo sulla macchina target è quella di cercare e poi terminare i processi taskmgr e cmd. Subito dopo, fa partire un conto alla rovescia di due ore e avvia contestualmente la cifratura di un file di esempio c:UserszannrDesktopcriptami.txt.

L’algoritmo crittografico è robusto, ma la chiave è in chiaro

Analizzando il codice malevolo, i ricercatori hanno scoperto che il ransomware KeRnSoMwArE utilizza una crittografia AES256 con un vettore di inizializzazione (IV) e chiavi casuali per cifrare i file della vittima designata, mentre per la chiave di decodifica viene utilizzato un algoritmo RSA.

contattaci