Ransomware mangia ransomware

Il business dei dati presi in ostaggio sta diventando sempre più proficuo, affollato (720mila attacchi nel 2015-2016) e di conseguenza competitivo. A farne le spese sono gli sviluppatori del malware Chimera, le cui 3.500 chiavi crittografiche sono ora di pubblico dominio. A rivelarle sono stati i criminali dietro il ransomware concorrente Petya/Mischa, e a tutti gli effetti questo mette Chimera fuori dal giro, almeno per il momento. Gli analisti di MalwareBytes hanno già affermato che servirà un po’ di tempo per verificare l’attendibilità delle chiavi e poter sviluppare un tool di decrittazione, ma le vittime di Chimera sono “invitate a non cancellare i file crittografati, c’è una concreta possibilità di poterli salvare”.

Chimera è il primo doxingware osservato nella scena ransomware. Oltre a chiedere un riscatto per decrittare i dati della vittima, esercita anche una seconda leva per ottenere il pagamento anche da coloro che ritenessero accettabile la perdita dei file: la minaccia di divulgare tutto il contenuto pubblicamente, in chiaro. Non si ha però una conferma se qualcuna delle vittime abbia ceduto a questo tipo di minaccia o se ci sia effettivamente stato un dump di dati sensibili.


In ogni caso, ora Chimera torna in panchina. È del tutto possibile che il team fosse in attesa di una mossa simile, dopo la scoperta, sempre da parte dei laboratori Malwarebytes, che il bundle Petya/Mischa conteneva porzioni di codice sorgente di Chimera. Assieme al leak delle chiavi RSA di Chimera, gli sviluppatori di Petya/Mischa hanno anche confermato di aver bucato già qualche tempo addietro il sistema di sviluppo del rivale e trafugato anche il codice sorgente.

Programma Affiliati Petya/Mischa (Fonte immagine)

Programma Affiliati Petya/Mischa (Fonte immagine)

Un ransomware in meno è quindi una buona notizia? Non esattamente. Petya/Mischa rimane un bundle micidiale: qualora Petya non riuscisse a ottenere i privilegi di amministratore che gli consentono di praticare una crittografia dell’intero disco e del settore di boot, è pronto a subentrargli Mischa, un classico ransomware operante sui singoli file dell’utente.

Ora gli sviluppatori del bundle ransomware possono concentrarsi sul loro neonato servizio RaaS (Ransomware-as-a-Service). Da inizio Luglio, chiunque abbia pochi scrupoli può acquistare il ransomware sull’apposita landing page accessibile via Tor e diventarne distributore ufficiale. Le provvigioni pagate dal team variano dal 25 per cento per chi ottiene meno di 5 bitcoin di riscatti fino a 85 per cento per bottini superiori ai 125 bitcoin. Secondo Lawrence Abrams, fondatore del forum di supporto tecnico BleepingComputer, il risultato sarà “quasi certamente un maggior numero di infezioni da parte di Mischa/Petya”.


Questo articolo è stato pubblicato in origine su Punto Informatico, sotto licenza Creative Commons BY-NC-SA 2.5.