Gruppo ransomware Luna usa un linguaggio multipiattaforma

Colpire sistemi Windows e Linux contemporaneamente è l’obiettivo dei gruppi ransomware più abili e potenti, che usano linguaggi di programmazione con capacità avanzate di cross-compilation.

Vulnerabilità

Le funzionalità multipiattaforma stanno diventando sempre più popolari nel cybercrime, e in particolare fra i gruppi ransomware. L’ultimo esempio in ordine temporale è quello di Luna, un gruppo ransomware scoperto di recente da Kaspersky, che distribuisce un malware scritto in linguaggio di programmazione Rust e che può colpire contemporaneamente sistemi Windows, Linux ed ESXi.

Rust non è una novità: è usato da gruppi affermati come BlackCat e Hive proprio in virtù del fatto che offre capacità avanzate di cross-compilation. È una caratteristica in comune con Golang (noto anche come Go), anch’esso un linguaggio indipendente dalla piattaforma, che permette di realizzare ransomware facilmente trasferibili da una piattaforma all’altra.

Il terzetto di opportunità ghiotte si chiude con il linguaggio di programmazione C++ usato dal gruppo ransomware Black Basta, che prende di mira i sistemi ESXi. Oltre a Black Basta, ESXi è una meta ghiotta anche per LockBit, l’ormai defunto REvil, HelloKitty, BlackMatter, AvosLocker e sopraccitato Hive. Il motivo è che ESXi è un hypervisor che può essere utilizzato indipendentemente su qualsiasi sistema operativo. Inoltre, è sempre più diffuso ora che la trasformazione digitale ha spinto molte aziende a migrare a macchine virtuali basate – appunto - su ESXi.


Quello che insegnano queste novità è che uno dei trend del 2022 legati al ransomware è il prendere di mira, oltre a Windows, anche Linux e ESXi. Un’opportunità di moltiplicare i guadagni e ampliare la platea delle potenziali vittime che non si fanno certo sfuggire i gruppi cyber criminali più abili e potenti.

Tornano a Luna, è bene annotarsi questo nome perché entra di diritto fra i gruppi ransomware emergenti da tenere d’occhio. Secondo Kaspersky, questo gruppo lavora solo con affiliati di lingua russa e anche il programmatore potrebbe essere di origine russa, come rilevano alcuni errori lessicali presenti nel codice. Data la giovane età del gruppo, ci vorrà ancora del tempo per comprendere la tipologia delle vittime.

Se questo articolo ti è piaciuto e vuoi rimanere sempre informato con le notizie di SecurityOpenLab.it iscriviti alla nostra Newsletter gratuita.

Notizie correlate

Speciali Tutti gli speciali

Speciale

Threat Intelligence

Speciale

Cloud Security

Speciale

Cybertech Europe 2022

Speciale

Backup e protezione dei dati

Speciale

Cyber security: dentro o fuori?

Calendario Tutto

Set 14
ACRONIS - Imposta correttamente la tua strategia di Disaster Recovery
Ott 20
SAP NOW 2022

Iscriviti alla nostra newsletter

Soluzioni B2B per il Mercato delle Imprese e per la Pubblica Amministrazione

Iscriviti alla newsletter