Colpire sistemi Windows e Linux contemporaneamente è l’obiettivo dei gruppi ransomware più abili e potenti, che usano linguaggi di programmazione con capacità avanzate di cross-compilation.
Autore: Redazione SecurityOpenLab
Le funzionalità multipiattaforma stanno diventando sempre più popolari nel cybercrime, e in particolare fra i gruppi ransomware. L’ultimo esempio in ordine temporale è quello di Luna, un gruppo ransomware scoperto di recente da Kaspersky, che distribuisce un malware scritto in linguaggio di programmazione Rust e che può colpire contemporaneamente sistemi Windows, Linux ed ESXi.
Rust non è una novità: è usato da gruppi affermati come BlackCat e Hive proprio in virtù del fatto che offre capacità avanzate di cross-compilation. È una caratteristica in comune con Golang (noto anche come Go), anch’esso un linguaggio indipendente dalla piattaforma, che permette di realizzare ransomware facilmente trasferibili da una piattaforma all’altra.
Il terzetto di opportunità ghiotte si chiude con il linguaggio di programmazione C++ usato dal gruppo ransomware Black Basta, che prende di mira i sistemi ESXi. Oltre a Black Basta, ESXi è una meta ghiotta anche per LockBit, l’ormai defunto REvil, HelloKitty, BlackMatter, AvosLocker e sopraccitato Hive. Il motivo è che ESXi è un hypervisor che può essere utilizzato indipendentemente su qualsiasi sistema operativo. Inoltre, è sempre più diffuso ora che la trasformazione digitale ha spinto molte aziende a migrare a macchine virtuali basate – appunto - su ESXi.
Quello che insegnano queste novità è che uno dei trend del 2022 legati al ransomware è il prendere di mira, oltre a Windows, anche Linux e ESXi. Un’opportunità di moltiplicare i guadagni e ampliare la platea delle potenziali vittime che non si fanno certo sfuggire i gruppi cyber criminali più abili e potenti.
Tornano a Luna, è bene annotarsi questo nome perché entra di diritto fra i gruppi ransomware emergenti da tenere d’occhio. Secondo Kaspersky, questo gruppo lavora solo con affiliati di lingua russa e anche il programmatore potrebbe essere di origine russa, come rilevano alcuni errori lessicali presenti nel codice. Data la giovane età del gruppo, ci vorrà ancora del tempo per comprendere la tipologia delle vittime.