▾ G11 Media: | ChannelCity | ImpresaCity | SecurityOpenLab | Italian Channel Awards | Italian Project Awards | Italian Security Awards | ...

ALPHV BlackCat è il ransomware più sofisticato di quest'anno

Scoperto a fine novembre, il nuovo ransomware pubblicizzato sui forum del dark web in lingua russa, offre agli affiliati un arsenale variegato e micidiale.

Vulnerabilità

Il ransomware più sofisticato dell'anno potrebbe essere ALPHV BlackCat, o più semplicemente BlackCat. Scoperto dai ricercatori di MalwareHunterTeam a fine novembre, si tratta una minaccia che mette a disposizione degli attaccanti un set altamente personalizzabile di funzionalità e che consente attacchi su una vasta gamma di ambienti aziendali.

Che si tratti di un prodotto fuori dagli schemi è evidente fin da subito, dato che è scritto in linguaggio Rust, che non è tipico degli sviluppatori di malware. Tuttavia, si tratta dell'ennesimo Ransomware-as-a-Service (RaaS) i cui operatori stanno reclutando affiliati sui forum di hacking in lingua russa.

Questi ultimi guadagneranno quote variabili in base all'ammontare dei riscatti pagati. Per riscatto fino a 1,5 milioni di dollari l'affiliato incassa l'80%, per riscatti fino a 3 milioni la percentuale all'85%, per quelli oltre i 3 milioni si arriva al 90%.

Funzioni avanzate

Nei messaggi promozionali, BlackCat viene descritto come un ransomware multipiattaforma, con il supporto garantito di tutte le versioni di Windows dalla 7 in poi (testato su 7, 8.1, 10, 11; 2008r2, 2012, 2016, 2019, 2022); XP e 2003 possono essere crittografati su SMB, ESXI (testato su 5.5, 6.5, 7.0.2u), Debian (testato su 7, 8, 9), Ubuntu (testato il 18.04, 20.04), ReadyNAS, Synology.

BlackCat è gestito tramite riga di comando, è altamente configurabile e consente di sfruttare fino a quattro diverse routine di crittografia. La personalizzazione definisce la modalità di propagazione in rete, la disattivazione di macchine virtuali e VM ESXi e la cancellazione automatica degli snapshot ESXi per impedire il ripristino.

Ciascun eseguibile ALPHV include una configurazione JSON che consente anche di personalizzare le estensioni con cui vengono salvati i file crittografati, le note di riscatto, i dati che verranno crittografati (cartelle, file, estensioni, servizi esclusi, processi terminati, eccetera). Inoltre, gli operatori possono definire le credenziali di dominio che possono essere utilizzate per diffondere il ransomware. L'eseguibile viene estratto nella cartella %Temp%, copia il ransomware su altri dispositivi della rete target e lo esegue.

Una volta avviato il ransomware, l'attaccante ne ha il pieno controllo tramite un'interfaccia utente basata su console che permette di monitorare la progressione dell'attacco, interrompere i processi e i servizi di Windows che potrebbero impedire la crittografia dei file, cancellare le copie shadow, avviare la scansione di rete per individuare altri dispositivi, eccetera.


A lavoro terminato, le note di riscatto includono i tipi di dati rubati e il link al sito Tor di rivendicazione in cui le vittime possono visualizzare in anteprima i dati rubati. Ciascuna vittima viene collegata a un sito Tor unico su cui avverranno le trattative per il riscatto.

Le vittime che finora sono cadute nella morsa di BlackCat erano operative in Stati Uniti, Australia e India e hanno fronteggiato richieste di riscatto comprese fra 400.000 dollari e 3 milioni di dollari, da pagare in Monero o Bitcoin. Quest'ultima opzione prevede una commissione aggiuntiva del 15%.

Analogamente a molti altri RaaS, anche ALPHV applica la tattica della tripla estorsione: gli operatori rubano i dati prima di crittografare i dispositivi e minacciano di pubblicarli se non viene pagato un riscatto. Inoltre, se la vittima non è intenzionata a pagare vengono attuati attacchi DDoS fino a quando non cambia idea.

Se questo articolo ti è piaciuto e vuoi rimanere sempre informato
Iscriviti alla nostra Newsletter Gratuita. Iscriviti
GoogleNews Rimani sempre aggiornato, seguici su Google News! Seguici

Notizie correlate

Speciali Tutti gli speciali

Speciale

Speciale iperautomazione

Speciale

Speciale Backup e Resilienza 2025

Speciale

Speciale OT Security

Speciale

2025 obiettivo cybersecurity

Speciale

Previsioni per la cybersecurity del 2025

Calendario Tutto

Lug 09
Dell Technologies - Tech Rally Server: Workshop storage Hyperconverged
Lug 09
Forcepoint NGFW Multi-Layer Protection in Action
Lug 09
Creatività ed efficienza con Adobe: più veloci, più connessi, più creativi con le ultime novità al servizio dei team creativi
Lug 10
Azure Special Club
Lug 10
Bootcamp WatchGuard - Sicurezza senza compromessi: Scopri WatchGuard Endpoint Security
Lug 10
Business Meeting Lexmark Marche | XC9525, la nuova generazione della stampa A3
Lug 10
scrivi qui il titolo...
Lug 10
Parallels RAS: accesso remoto sicuro, semplice, e scalabile per la tua azienda
Lug 10
Boost Your Backup Strategy con Object First: demo live e casi di successo

Ultime notizie Tutto

Acronis, come semplificare il lavoro di MSP e team IT con il patch management

Umberto Zanatta, Senior Solutions Engineer di Acronis, approfondisce come l’automazione del patch management possa semplificare le attività quotidiane, migliorare l’efficienza e assicurare una maggiore aderenza ai requisiti normativi, anche in ambienti IT complessi e distribuiti

08-07-2025

La rivoluzione quantistica nella cybersecurity: sfide e soluzioni

La rivoluzione del quantum computing mette a rischio la crittografia attuale: Umberto Pirovano di Palo Alto Networks spiega rischi, tempistiche e soluzioni post-quantum.

07-07-2025

SentinelOne premia i partner top performer in EMEA

Nel corso del PartnerOne Summit 2025 il vendor di cybersecurity premia i contributi di eccellenza all'innovazione nelle soluzioni di sicurezza dei propri partner

07-07-2025

Scattered Spider punta su attacchi a catena via fornitori BPO e call center

Noto gruppo criminale sfrutta la compromissione di fornitori BPO e call center per colpire più vittime in settori chiave. Facciamo il punto sulle nuove tattiche.

04-07-2025

Iscriviti alla nostra newsletter

Soluzioni B2B per il Mercato delle Imprese e per la Pubblica Amministrazione

Iscriviti alla newsletter

www.securityopenlab.it - 8.3.21 - 4.6.1