Davide Santoro : 31 Marzo 2023 16:00
Il Cyber Threat Intelligence team di Bi.zone ha individuato una nuova minaccia che si fa chiamare Key Wolf, un threat actor che agisce mediante l’uso di un ransomware. Ma a differenza dei ransomware e delle cyber-gang a cui siamo abituati, non chiede alcun riscatto e non è mosso da interesse economico.
Inoltre – almeno da quello che sembrerebbe finora – sembra non essere a “target”, ma colpisce nel mucchio mediante l’invio massivo di email. Ma andiamo ad analizzare meglio questa nuova minaccia che, come ci insegna la storia recente, potrebbe essere copiata anche da altri gruppi.
Il gruppo Key Wolf in queste ore sta bombardando le email degli utenti russi con un ransomware che, in caso di avvio, non contiene alcuna richiesta di riscatto e non fornisce alcuna indicazione per recuperare i file infetti.
Iscriviti GRATIS alla RHC Conference 2025 (Venerdì 9 maggio 2025)
Il giorno Venerdì 9 maggio 2025 presso il teatro Italia di Roma (a due passi dalla stazione termini e dalla metro B di Piazza Bologna), si terrà
la RHC Conference 2025. Si tratta dell’appuntamento annuale gratuito, creato dalla community di RHC, per far accrescere l’interesse verso le tecnologie digitali, l’innovazione digitale e la consapevolezza del rischio informatico.
La giornata inizierà alle 9:30 (con accoglienza dalle 9:00) e sarà interamente dedicata alla RHC Conference, un evento di spicco nel campo della sicurezza informatica. Il programma prevede un panel con ospiti istituzionali che si terrà all’inizio della conferenza. Successivamente, numerosi interventi di esperti nazionali nel campo della sicurezza informatica si susseguiranno sul palco fino alle ore 19:00 circa, quando termineranno le sessioni. Prima del termine della conferenza, ci sarà la premiazione dei vincitori della Capture The Flag prevista per le ore 18:00.
Potete iscrivervi gratuitamente all'evento utilizzando questo link.
Per ulteriori informazioni, scrivi a [email protected] oppure su Whatsapp al 379 163 8765
Supporta RHC attraverso:
Ti piacciono gli articoli di Red Hot Cyber? Non aspettare oltre, iscriviti alla newsletter settimanale per non perdere nessun articolo.
Attualmente sembrerebbe che Key Wolf stia utilizzando due file malevoli con nomi pressoché identici “Информирование зарегистрированных.exe” e “Информирование зарегистрированных.hta” che verrebbero inviati alle potenziali vittime – del tutto casuali come anticipato prima – via email.
Il primo è un archivio autoestraente che contiene due file: gUBmQx.exe e LICENSE, mentre il secondo contiene uno script per il download di gUBmQx.exe che viene scaricato dalla nota e discussa piattaforma di sharing ZippyShare che, come confermato da un post sul loro blog ufficiale smetterà di funzionare a fine marzo 2023.
Il file in questione contiene il ransomware del Key Group, a sua volta basato su un altro programma malevolo, Chaos di cui si parla in un noto forum underground fin dal giugno 2021 quando l’utente ryukRans scrisse un post condividendo un link Github per il Chaos Ransomware Builder.
Da allora sono state rilasciate diverse versioni e, nel giugno 2022, l’utente chaos_exe ha lanciato – all’interno del medesimo forum underground – una campagna Raas(ransomware-as-a-service) – con l’intento esplicito di reclutare pentesters
E’ particolarmente interessante notare che il ransomware di Key Wolf è stato creato utilizzando Chaos Ransomware Builder 4.0.
Analizziamo ora il funzionamento del ransomware di Key Wolf in dettaglio:
La prima cosa che farà il ransomware una volta avviato sarà quella di controllare se esista un processo con lo stesso nome e, in caso affermativo (e, quindi, con il ransomware già in esecuzione), il processo appena avviato si interromperà, mentre, in caso negativo, il processo si avvierà e compierà queste azioni:
Il malware andrà a cifrare ogni disco(tranne il disco C) e le seguenti cartelle in modo ricorsivo:
A questo punto il malware andrà a controllare ogni file nelle directory(ed ovviamente nelle sotto directory) selezionate e, in base alle dimensioni, effettuerà le seguenti operazioni:
Il ransomware ha anche un’altra strana funzione, controlla se negli appunti è presente un indirizzo bitcoin e, in caso affermativo, lo sostituisce con un indirizzo riconducibile agli attaccanti.
Allo stato attuale dei fatti possiamo affermare che questo gruppo non sembra mosso da interessi economici e la finalità dello stesso sia quella di danneggiare il maggior numero di computer russi, tuttavia, sembra sia ancora troppo presto per poter dare una matrice ed un obiettivo certo al gruppo, non sappiamo se si tratti di hacktivisti, di semplici vandali del web o, magari, di un gruppo che voglia sfruttare la situazione geopolitica internazionale per pubblicizzarsi in vista di un possibile futuro.
All’interno del Patch Tuesday di marzo è stata inclusa la CVE-2025-24983, una Vulnerabilità di elevazione dei privilegi del sottosistema kernel Win32 di Microsoft Windows. La Cybersec...
Giovedì 8 maggio, la Red Hot Cyber Conference 2025 ospiterà un’intera giornata dedicata ai ragazzi con i Workshop Hands-on (organizzati in collaborazione con Accenture Italia). Si tra...
Nelle ricognizioni nel mondo dell’underground e dei gruppi criminali svolte dal laboratorio di intelligence delle minacce DarkLab di Red Hot Cyber, ci siamo imbattuti all’interno di un D...
Nella giornata di oggi, la banda di criminali informatici di FUNKSEC rivendica all’interno del proprio Data Leak Site (DLS) un attacco informatico all’università italiana di Modena ...
L’attacco informatico a X, il social network di Elon Musk, ha scatenato una vera e propria caccia ai responsabili. Dopo le dichiarazioni dello stesso Musk, che ha attribuito l’attacco a ...
Copyright @ REDHOTCYBER Srl
PIVA 17898011006