▾ G11 Media: | ChannelCity | ImpresaCity | SecurityOpenLab | Italian Channel Awards | Italian Project Awards | Italian Security Awards | ...

Variante italiana del ransomware Chaos chiama in causa la Polizia

Una denuncia penale alla Polizia per detenzione di materiale pedopornografico è il ricatto per convincere le vittime del ransomware Chaos a pagare 250 euro in Bitcoin.

Vulnerabilità

Provenienza italiana, esca che genera disagio e vergona, richiesta di riscatto a cui non corrisponderà mai la restituzione dei dati compromessi. È questo lo scenario che si sono trovati davanti gli esperti del CERT-AGID analizzando il ransomware Chaos segnalato dal gruppo MHT.

Sui sistemi compromessi viene impostato uno sfondo del desktop che raffigura due agenti della Polizia di Stato davanti a un’auto di servizio, vengono cifrati i file e viene depositato un file polizia.exe che millanta alla vittima uno scenario scioccante: l’attaccante avrebbe rilevato sul computer la presenza di materiale pedopornografico. Per non denunciare l’illecito penale alle forze dell’ordine chiede, entro 72 ore, il pagamento di un riscatto in bitcoin del corrispettivo di 250 euro.

La cifra è bassa rispetto ai soliti riscatti ransomware a cui si è abituati. Tuttavia la malcapitata vittima non tornerà più in possesso dei file compromessi perché, come spiegato da AGID, “i file di dimensione superiore a 2 MB vengono sovrascritti con dati casuali, vanificando di conseguenza ogni possibilità di ripristino”.

L’analisi dettagliata del malware ha inoltre permesso di determinare che Chaos ha la capacità di propagarsi su tutte le unità di archiviazione collegate al sistema compromesso, ampliando così la portata dei danni arrecati.


Lo sfondo del desktop che viene impostato - Fonte: CERT-AGID

La matrice italiana

La nota di riscatto e gli artefatti utilizzati hanno portato gli investigatori a riconoscere la paternità italiana del ransomware. Un ransomware sviluppato a partire dal codice del progetto open source Hidden-Tear liberamente disponibile su GitHub, e modificato solo nelle parti relative alla nota, all’indirizzo del portafoglio bitcoin, all’immagine di sfondo e all’estensione dei file cifrati, che è .polizia.

Tecnicamente parlando, si tratta di un assembly .NET relativamente semplice, senza soluzioni per l’offuscamento. L’esecuzione del malware conta cinque fasi: inizializzazione (gestione istanze multiple, elevazione, persistenza), cifratura, propagazione, nota di riscatto, sostituzione degli indirizzi bitcoin nella clipboard.

Nella prima fase, quella di inizializzazione, il malware attiva istanze multiple con una procedura molto semplice, che si limita a fare varie copie di sé stesso in altre directory, senza esclusività. C’è poi la parte dell’escalation di privilegi e quella con cui il ransomware Chaos si garantisce la persistenza creando un link a sé stesso nella cartella di avvio.

La routine di cifratura identifica le directory target tramite un algoritmo molto semplice: per il disco C viene selezionata una serie specifica e automatica di cartelle (Desktop, Contatti, Download, Musica, Video, Favoriti, Ricerche, Collegamenti, Documenti, One Drive e Salvataggi), per gli altri dischi include invece tutte le cartelle presenti.

Per snellire la procedura di crittografia vengono effettivamente cifrati solo i file minori di 2 MB, gli altri file vengono sovrascritti con dati casuali, per questo sarà impossibile recuperarli. La cifratura effettiva avviene invece mediante un algoritmo AES-256-CBC protetto da una password di 20 byte generata casualmente e differente per ciascun file.

L’analisi dei tre wallet bitcoin a cui fa riferimento la nota di riscatto rivela che al momento della verifica erano state effettuate due transazioni in entrata e altrettante in uscita. L’ultima movimentazione di denaro risale a dicembre.

Per verificare la compromissione dei sistemi, CERT-AGID ha pubblicato gli Indicatori di Compromissione a questo link.

Se questo articolo ti è piaciuto e vuoi rimanere sempre informato
Iscriviti alla nostra Newsletter Gratuita. Iscriviti
GoogleNews Rimani sempre aggiornato, seguici su Google News! Seguici

Notizie correlate

Speciali Tutti gli speciali

Speciale

Speciale iperautomazione

Speciale

Speciale Backup e Resilienza 2025

Speciale

Speciale OT Security

Speciale

2025 obiettivo cybersecurity

Speciale

Previsioni per la cybersecurity del 2025

Calendario Tutto

Lug 15
Business Meeting HP | Diventa HP Extended Partner & HP Ecosystem
Lug 15
Networking on OCI: Dietro le Quinte della Rete Cloud
Lug 15
HPE TSC - Le ultime novità HPE per il tuo business a valore aggiunto
Lug 15
Cisco 360 Level Up:la transizione guidata da TD SYNNEX
Lug 16
NetApp Hybrid Cloud Associate Workshop
Lug 17
Ready Informatica Webinar | Cove Data Protection di N-able – Il tuo backup è ancorato al passato?
Lug 18
Ready Informatica Training Online | Cove Data Protection di N-able
Lug 23
Ready Informatica Training Tecnico Avanzato | Parallels RAS
Lug 23
Webinar - Selezione del personale: Un caso pratico HR con DocuWare

Ultime notizie Tutto

Patch Tuesday di luglio 2025: chiuse 137 falle, una Zero Day

Microsoft risolve 137 falle di sicurezza nel Patch Tuesday di luglio, tra cui una Zero Day su SQL Server e gravi vulnerabilità in Windows e SharePoint.

09-07-2025

AI agent e automazione no-code: la nuova era dei SOC

Agentic AI e automazione no-code: i SOC stanno cambiando faccia. Ecco come workflow intelligenti, integrazioni dinamiche e nuovi standard possono ridefinire l’incident response e il ruolo degli analisti.

09-07-2025

Acronis, come semplificare il lavoro di MSP e team IT con il patch management

Umberto Zanatta, Senior Solutions Engineer di Acronis, approfondisce come l’automazione del patch management possa semplificare le attività quotidiane, migliorare l’efficienza e assicurare una maggiore aderenza ai requisiti normativi, anche in ambienti IT complessi e distribuiti

08-07-2025

La rivoluzione quantistica nella cybersecurity: sfide e soluzioni

La rivoluzione del quantum computing mette a rischio la crittografia attuale: Umberto Pirovano di Palo Alto Networks spiega rischi, tempistiche e soluzioni post-quantum.

07-07-2025

Iscriviti alla nostra newsletter

Soluzioni B2B per il Mercato delle Imprese e per la Pubblica Amministrazione

Iscriviti alla newsletter

www.securityopenlab.it - 8.3.21 - 4.6.1