Il gruppo MalwareHunterTeam ha individuato e segnalato al CERT-AGID una nuova variante del ransomware Chaos che mostra palesemente la sua natura italiana e sfrutta come tema un presunto materiale pedopornografico e la Polizia di Stato.
I criminali stanno veicolando questa campagna attraverso una nota estorsiva in cui chiedono di versare 250€ su un indirizzo bitcoin per non dar seguito ad una denuncia penale.
Sebbene l’importo richiesto per il riscatto sia irrisorio rispetto a quanto comunemente avviene in queste circostanze, i danni che questo ransomware può causare sui sistemi interessati sono gravi e irreparabili e pagare il riscatto non consente di ottenere un decryptor per ripristinare tutti i dati poiché i file di dimensione superiore a 2 MB vengono sovrascritti con dati casuali.
Chaos ha inoltre capacità di worming, quindi di propagarsi su tutte le unità di memorizzazione accessibili rilevate sul sistema compromesso, all’interno delle quali rilascia una copia di sé stesso denominata “polizia.exe” ed è in grado di sostituire eventuali indirizzi bitcoin copiati nella clipboard con indirizzi gestiti dai criminali e inclusi nel codice.
Nota estorsiva
Il testo del falso file denominato POLIZIA_DI_STATO.txt:
“Sei stato infettato dalla polizia di stato. Abbiamo trovato materiale illegale in questo computer e le stiamo chiedendo un risarcimento per non effettuare una denuncia penale nei suoi confronti.
Ha 72 ore da questo momento per mandare 250 Euro al indirizzo bitcoin riportato sotto.
Se il pagamento non verrà effettuato manderemo i carabinieri a casa sua.
Per comprare Bitcoin le consigliamo questi siti:
www.coinmama.com – www.bitpanda.co
indirizzo Bitcoin: 1G395PJs8ciqvXPZEYb1LfUGPix9h9n3oQ
Bitcoin da inviare nel caso vi venga chiesto dal sito o applicazione: 0.00652232
Oppure in alternativa le consigliamo di scaricare l’app di nome Conio inserire i suoi documenti e aspettare la verifica per poi comprare Bitcoin con la sua carta”.
Una volta che la nota estorsiva viene generata, lo sfondo dello schermo viene sostituito con una foto reale di un articolo pubblicato nel 2020 raffigurante due agenti di Polizia dinanzi ad una volante.
Secondo gli esperti questa variante è stata scritta da italiani – vista anche la nota di riscatto e gli artefatti utilizzati – ed è stata creata semplicemente modificato il codice sorgente, cambiandone solo le parti di loro interesse: la nota, l’indirizzo bitcoin, l’immagine usata per lo sfondo e la tipologia di estensione dei file cifrati in “.polizia”.
Il CERT-AGID ha preventivamente condiviso gli IoC con le proprie organizzazioni accreditate.