Milano, 20 luglio 2022
I ricercatori di Kaspersky hanno scoperto un nuovo gruppo ransomware che conferma la tendenza di questi criminali di utilizzare funzionalità multipiattaforma. Il gruppo, soprannominato Luna, utilizza ransomware scritti in Rust, un linguaggio di programmazione precedentemente utilizzato da threat actor come BlackCat e Hive. Questo consente loro di trasferire facilmente il malware da un sistema operativo all’altro. Anche questa scoperta fa parte del recente report sul crimeware disponibile sul sito di Kaspersky Securelist.
Luna distribuisce un malware scritto in Rust: le sue capacità multipiattaforma consentono al gruppo di colpire contemporaneamente sistemi Windows, Linux ed ESXi. L’annuncio diffuso sul dark web, individuato da Kaspersky, afferma che Luna lavora solo con affiliati di lingua russa. Inoltre, la richiesta di riscatto hardcoded nel binario, contiene alcuni errori di spelling, che fanno pensare che il gruppo possa essere di lingua russa. Dal momento che Luna è un gruppo scoperto di recente, ci sono ancora pochi dati sulla tipologia di vittime, ma Kaspersky sta seguendo attivamente la sua attività.
Luna conferma la recente tendenza ad utilizzare ransomware multipiattaforma, scritti con linguaggi come Golang e Rust e ampiamente implementati dai moderni gruppi ransomware nell’ultimo anno. Un esempio rilevante è rappresentato da BlackCat e Hive, quest’ultimo utilizza sia Go che Rust. Si tratta di linguaggi indipendenti dalla piattaforma, di conseguenza i ransomware scritti con essi possono essere facilmente trasferiti da una piattaforma all’altra. Gli attacchi possono quindi essere rivolti a più sistemi operativi contemporaneamente.
Un’altra indagine, condotta di recente da Kaspersky, fornisce informazioni più approfondite sull’attività del gruppo ransomware Black Basta. Questo gruppo utilizza una nuova variante di ransomware scritta in C++, che è stata scoperta per la prima volta a febbraio 2022. Da allora, Black Basta è riuscito ad attaccare più di 40 vittime, principalmente in Stati Uniti, Europa e Asia.
Come ha dimostrato l’indagine di Kaspersky, sia Luna che Black Basta confermano un altro trend del 2022 legato ai ransomware ovvero quello di prendere di mira i sistemi ESXi, oltre a Windows e Linux. ESXi è un hypervisor che può essere utilizzato indipendentemente su qualsiasi sistema operativo. Inoltre, tenuto conto che molte aziende sono migrate a macchine virtuali basate su ESXi, è diventato più facile per gli attaccanti criptare i dati delle vittime.
“Le tendenze che abbiamo delineato all’inizio di quest’anno sembrano affermarsi sempre di più. Rileviamo un numero sempre più alto di gruppi criminali che usano linguaggi multipiattaforma per scrivere i loro ransomware con l’obiettivo di distribuire il malware su una varietà di sistemi operativi. L’aumento degli attacchi alle macchine virtuali ESXi è allarmante e ci aspettiamo che sempre più gruppi di ransomware adottino la stessa strategia,” ha commentato Jornt van der Wiel, Security Expert di Kaspersky.
Ulteriori informazioni sui gruppi ransomware emergenti sono presenti su Securelist.
Per proteggere sé stessi e la propria azienda dagli attacchi ransomware, Kaspersky propone di: