{"id":26497,"date":"2022-03-02T12:57:32","date_gmt":"2022-03-02T10:57:32","guid":{"rendered":"https:\/\/www.kaspersky.it\/blog\/?p=26497"},"modified":"2022-05-05T12:27:21","modified_gmt":"2022-05-05T10:27:21","slug":"hermeticransom-hermeticwiper-attacks-2022","status":"publish","type":"post","link":"https:\/\/www.kaspersky.it\/blog\/hermeticransom-hermeticwiper-attacks-2022\/26497\/","title":{"rendered":"Il ransomware come distrazione"},"content":{"rendered":"

I nostri ricercatori hanno analizzato il malware HermeticRansom, noto anche come Elections GoRansom. In generale, questo \u00e8 un cryptor abbastanza semplice. Ci\u00f2 che \u00e8 interessante in questo caso \u00e8 lo scopo per cui gli hacker lo stanno utilizzando.<\/p>\n

Gli obiettivi di HermeticRansom<\/h2>\n

HermeticRansom ha attaccato i computer allo stesso tempo di un altro malware noto come HermeticWiper, e sulla base delle informazioni pubblicamente disponibili dalla comunit\u00e0 di sicurezza, \u00e8 stato utilizzato nei recenti cyber-attacchi in Ucraina. Secondo i nostri esperti, la relativa semplicit\u00e0 e la discutibile implementazione del flusso di lavoro del malware suggerisce che HermeticRansom \u00e8 stato usato come schermo per gli attacchi di HermeticWiper.<\/p>\n

Di cosa \u00e8 capace HermeticRansom<\/h2>\n

Una volta infettato il computer della vittima, il malware per prima cosa identifica i dischi rigidi e raccoglie una lista di directory e di file che si trovano ovunque tranne che nelle cartelle Windows e Program Files. Poi cifra alcune categorie di file e li rinomina aggiungendo un tag .encrypted e l\u2019indirizzo email degli operatori del ransomware. Il malware crea anche un file read_me.html nella cartella Desktop contenente una nota di riscatto con i contatti dei cyber criminali. La nota assomiglia a questa:<\/p>\n

\"\"

Nota di riscatto lasciata dal malware HermeticRansom<\/p><\/div>\n

HermeticRansom cifra i file con le seguenti estensioni:
\n.inf, .acl, .avi, .bat, .bmp, .cab, .cfg, .chm, .cmd, .com, .crt, .css, .dat, .dip, .dll, .doc, .dot, .exe, .gif, .htm, .ico, .iso, .jpg, .mp3, .msi and odt.<\/p>\n

Le particolarit\u00e0 di HermeticRansom<\/h2>\n

HermeticRansom \u00e8 scritto in Golang. Non usa alcun meccanismo di offuscamento, e il metodo di cifratura stesso \u00e8 piuttosto ingombrante e inefficiente. A giudicare da questi e altri segni, i nostri esperti pensano che questo malware sia stato creato in fretta.<\/p>\n

Potete trovare un\u2019analisi tecnica pi\u00f9 dettagliata del malware insieme agli indicatori di compromissione sul nostro blog Securelist<\/a>.<\/p>\n

Come stare al sicuro<\/h2>\n

Le soluzioni di sicurezza di Kaspersky Lab rilevano con successo il malware HermeticRansom e minacce simili. Abbiamo una gamma di strumenti per proteggere sia i computer di casa che le infrastrutture aziendali, tra cui:<\/p>\n