Il recente rilevamento di un nuovo ransomware denominato “Cambiare Rotta” ha sollevato una serie di preoccupazioni per la sicurezza informatica in Italia. Questo ransomware, scoperto da SonicWall, sembra essere stato creato utilizzando un generatore di ransomware Chaos basato su GUI, che permette una facile personalizzazione del malware.
Il CERT-AGID è venuto in possesso dell’eseguibile grazie alle ricerche di MalwareHunterTeam. Il file, sviluppato in .NET, è molto simile ad altri campioni di Chaos Ransomware. All’avvio, il malware controlla se è già in esecuzione e, in caso contrario, inizia a scansionare i file per crittografarli, escludendo però l’unità C: per evitare di compromettere il sistema operativo.
Il ransomware crittografa specifiche directory di tutte le unità, ad eccezione dell’unità C:. Se l’unità individuata è diversa, viene crittografato tutto il contenuto. Per file di dimensioni superiori a 2.117.152 byte, il malware sovrascrive i dati con byte casuali, rendendoli irrecuperabili. Per file di dimensioni inferiori, utilizza l’algoritmo AES per la crittografia. L’intero processo comprende i seguenti passaggi:
- Legge tutti i byte dal file specificato e li memorizza in un array di byte
- Genera una password casuale di lunghezza 20 caratteri utilizzando e la converte in una sequenza di byte utilizzando la codifica UTF-8.
- Cifra l’array di byte utilizzando l’algoritmo AES con la password generata precedentemente, ottenendo un nuovo array di byte cifrati
- Salva la password criptata RSA e i dati criptati nel file originale, che vengono convertiti in una stringa Base64.
- Il file originale viene quindi rinominato aggiungendo un’estensione casuale di 4 caratteri.
Se il malware viene eseguito con privilegi di amministratore, tenta di eliminare le copie shadow, disabilitare la modalità di ripristino del sistema e rimuovere il catalogo di backup.
A differenza di molti ransomware, “Cambiare Rotta” non fornisce istruzioni per il recupero dei file né modalità di contatto con i criminali, indicando esplicitamente che i file non possono essere recuperati. La nota di riscatto, scritta in italiano, contiene riferimenti politici al conflitto tra Israele e Palestina, suggerendo che l’obiettivo non sia economico ma distruttivo e ideologico. Al termine del processo di cifratura, viene impostata un’immagine (una foto presa dal web) come sfondo del desktop e viene visualizzata la nota informativa.
Per contrastare questa campagna fraudolenta, sono riportati sulla pagina web del CERT-AGID gli Indicatori di Compromissione (IoC) identificati e già condivisi con le Pubbliche Amministrazioni accreditate al Flusso IoC.
https://cert-agid.gov.it/news/ransomware-cambiare-rotta-una-minaccia-distruttiva-per-litalia/