Davide Santoro : 31 Marzo 2023 16:00
Il Cyber Threat Intelligence team di Bi.zone ha individuato una nuova minaccia che si fa chiamare Key Wolf, un threat actor che agisce mediante l’uso di un ransomware. Ma a differenza dei ransomware e delle cyber-gang a cui siamo abituati, non chiede alcun riscatto e non è mosso da interesse economico.
Inoltre – almeno da quello che sembrerebbe finora – sembra non essere a “target”, ma colpisce nel mucchio mediante l’invio massivo di email. Ma andiamo ad analizzare meglio questa nuova minaccia che, come ci insegna la storia recente, potrebbe essere copiata anche da altri gruppi.
Il gruppo Key Wolf in queste ore sta bombardando le email degli utenti russi con un ransomware che, in caso di avvio, non contiene alcuna richiesta di riscatto e non fornisce alcuna indicazione per recuperare i file infetti.
Vorresti toccare con mano la Cybersecurity e la tecnologia? Iscriviti GRATIS ai WorkShop Hands-On della RHC Conference 2025 (Giovedì 8 maggio 2025)
Se sei un ragazzo delle scuole medie, superiori o frequenti l'università, oppure se solamente un curioso, il giorno giovedì 8 maggio 2025 presso il teatro Italia di Roma (a due passi dalla stazione termini e dalla metro B di Piazza Bologna), si terranno i workshop "hands-on", creati per far avvicinare i ragazzi alla sicurezza informatica e alla tecnologia. Questo anno i workshop saranno:
Supporta RHC attraverso:
Ti piacciono gli articoli di Red Hot Cyber? Non aspettare oltre, iscriviti alla newsletter settimanale per non perdere nessun articolo.
Attualmente sembrerebbe che Key Wolf stia utilizzando due file malevoli con nomi pressoché identici “Информирование зарегистрированных.exe” e “Информирование зарегистрированных.hta” che verrebbero inviati alle potenziali vittime – del tutto casuali come anticipato prima – via email.
Il primo è un archivio autoestraente che contiene due file: gUBmQx.exe e LICENSE, mentre il secondo contiene uno script per il download di gUBmQx.exe che viene scaricato dalla nota e discussa piattaforma di sharing ZippyShare che, come confermato da un post sul loro blog ufficiale smetterà di funzionare a fine marzo 2023.
Il file in questione contiene il ransomware del Key Group, a sua volta basato su un altro programma malevolo, Chaos di cui si parla in un noto forum underground fin dal giugno 2021 quando l’utente ryukRans scrisse un post condividendo un link Github per il Chaos Ransomware Builder.
Da allora sono state rilasciate diverse versioni e, nel giugno 2022, l’utente chaos_exe ha lanciato – all’interno del medesimo forum underground – una campagna Raas(ransomware-as-a-service) – con l’intento esplicito di reclutare pentesters
E’ particolarmente interessante notare che il ransomware di Key Wolf è stato creato utilizzando Chaos Ransomware Builder 4.0.
Analizziamo ora il funzionamento del ransomware di Key Wolf in dettaglio:
La prima cosa che farà il ransomware una volta avviato sarà quella di controllare se esista un processo con lo stesso nome e, in caso affermativo (e, quindi, con il ransomware già in esecuzione), il processo appena avviato si interromperà, mentre, in caso negativo, il processo si avvierà e compierà queste azioni:
Il malware andrà a cifrare ogni disco(tranne il disco C) e le seguenti cartelle in modo ricorsivo:
A questo punto il malware andrà a controllare ogni file nelle directory(ed ovviamente nelle sotto directory) selezionate e, in base alle dimensioni, effettuerà le seguenti operazioni:
Il ransomware ha anche un’altra strana funzione, controlla se negli appunti è presente un indirizzo bitcoin e, in caso affermativo, lo sostituisce con un indirizzo riconducibile agli attaccanti.
Allo stato attuale dei fatti possiamo affermare che questo gruppo non sembra mosso da interessi economici e la finalità dello stesso sia quella di danneggiare il maggior numero di computer russi, tuttavia, sembra sia ancora troppo presto per poter dare una matrice ed un obiettivo certo al gruppo, non sappiamo se si tratti di hacktivisti, di semplici vandali del web o, magari, di un gruppo che voglia sfruttare la situazione geopolitica internazionale per pubblicizzarsi in vista di un possibile futuro.
All’interno del Patch Tuesday di marzo è stata inclusa la CVE-2025-24983, una Vulnerabilità di elevazione dei privilegi del sottosistema kernel Win32 di Microsoft Windows. La Cybersec...
Giovedì 8 maggio, la Red Hot Cyber Conference 2025 ospiterà un’intera giornata dedicata ai ragazzi con i Workshop Hands-on (organizzati in collaborazione con Accenture Italia). Si tra...
Nelle ricognizioni nel mondo dell’underground e dei gruppi criminali svolte dal laboratorio di intelligence delle minacce DarkLab di Red Hot Cyber, ci siamo imbattuti all’interno di un D...
Nella giornata di oggi, la banda di criminali informatici di FUNKSEC rivendica all’interno del proprio Data Leak Site (DLS) un attacco informatico all’università italiana di Modena ...
L’attacco informatico a X, il social network di Elon Musk, ha scatenato una vera e propria caccia ai responsabili. Dopo le dichiarazioni dello stesso Musk, che ha attribuito l’attacco a ...
Copyright @ REDHOTCYBER Srl
PIVA 17898011006