Arriva ARCrypt: il nuovo ransomware dall'America Latina pronto a diffondersi in tutto il mondo. Ecco i dettagli

Arriva ARCrypt: il nuovo ransomware dall'America Latina pronto a diffondersi in tutto il mondo. Ecco i dettagli

Si tratta di un ransomware inedito, senza alcuna affinità con ceppi già noti. Le prime compromissioni in Cile e Colombia negli scorsi mesi, ma ora si registrano vittime anche in Europa e USA

di pubblicata il , alle 16:31 nel canale Sicurezza
 

Un nuovo ransomware si sta diffondendo sul panorama internazionale, dopo aver inizialmente colpito alcune realtà sensibili dell'America Latina. Il suo nome è ARCrypter e dopo aver compromesso un'agenzia governativa cilena lo scorso agosto è riuscito ad infettare ad ottobre anche l'autorità nazionale Colombiana che si occupa di garantire la sicurezza alimentare.

Quando ARCrypter ha fatto capolino le prime volte, le analisi hanno mostrato come si trattasse di un ceppo completamente nuovo e non derivante da alcuna famiglia di ransomware già nota. Dopo le compromissioni avvenute in Cile e Colombia, i ricercatori di sicurezza di BlackBerry hanno individuato ARCrypter in Cina e Canada, e successivamente sono state riscontrate vittime anche in Francia, Germania e Stati Uniti d'America. 

Secondo le informazioni disponibili ARCrypt prende di mira sistemi Windows e Linux, e aggiunge l'estensione .cryp ai file che va a crittografare. Le richieste di riscatto che i ricercatori hanno potuto riscontrare fino ad ora arrivano fino a 5000 dollari.


Il messaggio di ARCrypt - Fonte: BlackBerry Blog

Attualmente non è ancora noto quale sia il vettore di attacco, anche se sono stati individuati due URL AnonFiles che vengono utilizzati per recuperare un archivio win.zip che a sua volta contiene un eseguibile win.exe: quest'ultimo è un dropper che contiene un file html in cui si trova la richiesta di riscatto, e un file .bin che può essere sbloccato da una password.

Se il file .bin viene sbloccato, va a creare una cartella casuale che ha lo scopo di accogliere il payload di seconda fase, che si occupa a sua volta di andare a modificare il registro di Windows per assicurarsi la persistenza nella macchina.

A questo punto iniziano le attività dannose: il malware va ad eliminare le copie shadow del volume su cui si trova così da impedire il ripristino dei dati, si assicura di avere a disposizione una connessione stabile modificando le impostazioni di rete e procede a crittografare tutti i file che incontra, escludendo però quelli con estensione .crypt, .sys, .exe, .ini, .blf, .tmp, .bat, .regtrans-ms, .log, .msi, .library-ms, .log.tmp e .ddl. Non solo: ARCrypt esclude dal suo operato anche i file presenti nelle cartelle "boot" e "Windows", allo scopo di evitare di rendere il sistema inservibile.

Il ransomware non sembra disporre di un sistema di esfiltrazione dei dati, quindi sembra possibile escludere al momento l'eventualità che i file crittografati vengano anche sottratti. Non è tuttavia da escludere, come già visto in molte altre occasioni, che il ransomware possa evolvere nel corso del tempo arricchendosi di nuove funzioni. Al momento non si conoscono dettagli sulla mano dietro ad ARCrypt, quale sia la sua origine o rapporti con altri gruppi ransomware.

21 Commenti
Gli autori dei commenti, e non la redazione, sono responsabili dei contenuti da loro inseriti - info
TorettoMilano18 Novembre 2022, 16:36 #1
in che valuta viene chiesto il riscatto?
Saturn18 Novembre 2022, 16:53 #2
Originariamente inviato da: TorettoMilano
in che valuta viene chiesto il riscatto?


Dracme.
Saturn18 Novembre 2022, 17:07 #3
Mi ero scordato di augurare come sempre a chi programma queste porcherie il solito attacco di dissenteria acuta, improvvisa e perpetua !

Possibilmente in galera !
Varg8718 Novembre 2022, 17:28 #4
Ma la cifra richiesta segue l'andamento veramente euforico dell'ultimo periodo o é fissa?
Saturn18 Novembre 2022, 17:32 #5
Originariamente inviato da: Varg87
Ma la cifra richiesta segue l'andamento veramente euforico dell'ultimo periodo o é fissa?


Purtroppo il più delle volte con questi criminali si finisce per contrattare via chat - per fortuna non mi è mai capitato e spero di non farlo mai visto che i backup ai nostri clienti sono anche a provo di questi pezzi di me::a - ma colleghi di altre aziende, messe in ginocchio, mi hanno raccontato che hanno trovato "punti di incontro" chattandoci. Non ho mai approfondito perchè per me non vanno pagati e basta. Equivale a finanziare loro e tutto lo schifo che c'è dietro.
Varg8718 Novembre 2022, 17:58 #6
Sì, tra le altre cose anche non hai nemmeno la certezza di riavere tutti i tuoi dati.
Mi chiedevo più che altro come facessero a capire il livello di barbonaggine. Con me cadrebbero male, avendo tutti i dati con molteplice backup rigorosamente offline.
Se mai dovesse capitarmi farei di tutto per far perdere loro più tempo possibile, fingendomi un totale incapace tecnologico, per lasciarli a bocca asciutta.
Saturn18 Novembre 2022, 18:14 #7
Originariamente inviato da: Varg87
Sì, tra le altre cose anche non hai nemmeno la certezza di riavere tutti i tuoi dati.
Mi chiedevo più che altro come facessero a capire il livello di barbonaggine. Con me cadrebbero male, avendo tutti i dati con molteplice backup rigorosamente offline.
Se mai dovesse capitarmi farei di tutto per far perdere loro più tempo possibile, fingendomi un totale incapace tecnologico, per lasciarli a bocca asciutta.


Non hai infatti nessuna garanzia. Per questo non vanno mai pagati. MAI.

Solo denunciati (per quello che serve).
phmk19 Novembre 2022, 07:40 #8

Inattaccabile Linux....

..."prende di mira sistemi Windows e Linux" ....
Varg8719 Novembre 2022, 09:05 #9
Sì ed é ancora più pericoloso se si considera che con ottima probabilità non ci sono antivirus e/o antimalware installati ed appunto "non esistono virus per Linux/Apple" secondo la visione dei piú.
Certo, immagino che uno debba andare a cercarsele ste robe ma tant'é.
Informative19 Novembre 2022, 09:52 #10
Originariamente inviato da: TorettoMilano
in che valuta viene chiesto il riscatto?


Dollari, bannarli. (bis) Non importa il proxy.

Originariamente inviato da: Varg87
Ma la cifra richiesta segue l'andamento veramente euforico dell'ultimo periodo o é fissa?


In genere varia in criptovaluta perchè al 99.99% degli estorsori interessano i dollari. Quindi ribadisco bannarli E risolviamo, seguendo la logica di Trolletto

Devi effettuare il login per poter commentare
Se non sei ancora registrato, puoi farlo attraverso questo form.
Se sei già registrato e loggato nel sito, puoi inserire il tuo commento.
Si tenga presente quanto letto nel regolamento, nel rispetto del "quieto vivere".

La discussione è consultabile anche qui, sul forum.
 
^