Chiamato Cactus, un nuovo ransomware sta attualmente dilagando sul web. La particolarità di questo malware sta nella sua capacità di nascondersi ai più sofisticati software antivirus. Attivo dallo scorso marzo, il malware è stato scoperto solo ora.
Cactus: ricordate il nome di questo ransomware, perché potreste sentirne parlare ancora nei prossimi mesi. Non che questo malware sia più pericoloso di altri. Ciò che lo distingue dagli altri ransomware è il metodo di creazione e distribuzione.
Secondo gli esperti di sicurezza di Kroll, che hanno scoperto Cactus, il malware “essenzialmente cripta se stesso, rendendolo più difficile da rilevare e aiutandolo a eludere gli antivirus e gli strumenti di monitoraggio della rete”.
Cactus si cripta per nascondersi meglio
Lo scopo di Cactus è quello di criptare se stesso. Come è possibile? Per cominciare, gli autori di questo malware utilizzano lo strumento di compressione gratuito 7-Zip. Una semplice operazione di compressione crea inizialmente un file perfettamente legittimo. Ma il file originale viene sostituito dal malware e l’eseguibile viene distribuito con un marcatore specifico che ne consente l’esecuzione. Il malware memorizza quindi i dati nella cartella “C:\ProgramData\ntuser.dat”, che verranno letti in seguito tramite un comando “-r”. È tramite un altro comando, “-i” in questo caso, che i dati, precedentemente crittografati, verranno decifrati.
Si noti che il ransomware sfrutta vulnerabilità note nelle applicazioni VPN di Fortinet. Una volta installato su una rete, Cactus cerca i file e avvia un’operazione di crittografia multi-thread. E come la maggior parte dei malware, Cactus non si limita a crittografare i dati delle vittime: il malware li ruba anche. Gli autori utilizzano poi lo strumento Rclone, che consente di trasferire i dati nel cloud.
Come di consueto, gli autori del ransomware minacciano le loro vittime di rendere pubbliche le informazioni raccolte. Non è ancora noto a quanto ammonti la richiesta di riscatto, ma secondo Bleeping Computer potrebbe raggiungere diversi milioni di dollari.