Onyx: attenzione al ransomware che distrugge i file sotto i 200MB

La scorsa settimana è stata scoperta ad opera di MalwareHunterTeam una nuova campagna ransomware chiamata Onyx. Le modalità operative di questo ransomware e del gruppo che lo controlla sono apparse fin da subito abbastanza "convenzionali" per questo genere di minacce, ma è stato scoperto recentemente un dettaglio piuttosto grave.

I ricercatori hanno inizialmente riscontrato il solito copione, già visto in altre campagne ransomware, che prevede la sottrazione dei dati dai sistemi informatici della vittima prima di procedere alla loro cifratura. In questo modo gli aggressori hanno comunque a disposizione i dati di proprietà della vittima così da poter attuare schemi di doppia estorsione, minacciando di condividere pubblicamente i dati qualora non venga pagato il riscatto.

MalwareHunterTeam è però riuscito a trovare un campione del malware per poterlo analizzare tecnicamente, riscontrando un comportamento preoccupante: il ransomware va infatti a sovrascrivere i file al di sopra dei 200MB con dati "spazzatura" invece di crittografarli. I file al di sotto di quella soglia vengono invece "regolarmente" crittografati.

Dal momento che i file vengono sovrascritti con dati casuali, non è possibile recuperarli in alcun modo: ciò significa che la chiave di cifratura può recuperare solamente i file più piccoli di 200MB lasciando quindi il sistema colpito potenzialmente inservibile, oltre a causare la perdita di dati potenzialmente di valore per la vittima.

Secondo i ricercatori, che hanno analizzato il codice sorgente del malware, si tratterebbe di un funzionamento previsto e non di un bug. Per questo motivo i ricercatori suggeriscono di non accettare richieste di pagamento di riscatto se colpiti da Onyx, consiglio che comunque resta valido in generale per chiunque sia colpito da un attacco ransomware: il pagamento del riscatto non offre alcuna garanzia che gli aggressori onoreranno il loro impegno a fornire la chiave di decifratura.