Malware, scoperta nuova variante del ransomware Karmen

Scovato da Recorded Future, ne parla il sito del Cert Nazionale

APR 20, 2017 -

Roma, 20 apr. (askanews) – Gli esperti di sicurezza della società Recorded Future hanno recentemente scoperto una nuova variante del ransomware Karmen offerta come RaaS nel Dark Web a soli 175 dollari. I primi casi di infezione di questo malware, spiega il sito del Cert Nazionale, risalgono al dicembre del 2016, con vittime in Germania e negli Stati Uniti. Solo a partire da marzo di quest’anno Karmen ha iniziato ad essere attivamente pubblicizzato nei forum underground.

Stando a quanto riportato da Recorded Future, il codice di Karmen deriva dal progetto di ransomware open source Hidden Tear, disponibile liberamente su GitHub ed utilizzabile, stando al suo autore, solamente a scopo “didattico”. L’eseguibile è basato sul framework .NET, mentre l’infrastruttura di supporto richiede PHP 5.6 e MySQL.

Il sito Web dove è possibile acquistare Karmen consente di configurare diversi aspetti del malware, tra cui la somma in bitcoin da richiedere come riscatto. Il pannello di controllo è di facile utilizzo e la configurazione non richiede particolari conoscenze tecniche, risultando alla portata di ‘script kiddie’ e aspiranti cyber criminali. Il sito consente di tracciare tutti i computer infettati dalla propria ‘creazione’, verificare quante delle vittime hanno affettivamente pagato per riottenere l’accesso ai propri file, visualizzare l’ammontare dei ‘guadagni’ e controllare la presenza di aggiornamenti del malware.

Karmen agisce come la maggior parte dei malware di questo tipo: cifra i file sulla macchina infettata mediante l’algoritmo di cifratura AES-256, rendendoli di fatto inaccessibili all’utente e visualizza un avviso con le istruzioni per il pagamento della somma richiesta per ottenere la chiave di decifratura dall’attaccante.

Karmen è inoltre in grado di cancellare il proprio modulo di decifratura nel caso in cui venga eseguito in una sandbox o venga rilevata la presenza di software di analisi sul computer della vittima.

Sulla base degli IoC pubblicati sul post originale di Recorded Future – conclude l’articolo del Cert Nazionale -, al momento il ransomware Karmen non viene rilevato da nessuno dei più diffusi antivirus.

(fonte: Cyber Affairs)