I ricercatori di Kaspersky hanno identificato una nuova famiglia di ransomware, denominata Luna, che prende di mira i sistemi Windows, Linux ed ESXi. Il nuovo ransomware è stato rilevato il mese scorso dal sistema di monitoraggio attivo di Darknet Threat Intelligence di Kaspersky che ha individuato un nuovo annuncio su un forum di ransomware darknet.
Il malware è scritto in Rust e, a giudicare dalle opzioni della riga di comando disponibili, appare abbastanza semplice. Lo schema di crittografia che utilizza, tuttavia, non è così tipico, poiché coinvolge x25519 e AES, una combinazione che non si incontra spesso negli schemi ransomware.
Sia i campioni Linux che ESXi vengono compilati utilizzando lo stesso codice sorgente con alcune modifiche minori rispetto alla versione Windows. Per esempio, se i campioni Linux vengono eseguiti senza argomenti della riga di comando, non verranno eseguiti. Verranno invece visualizzati gli argomenti disponibili che possono essere utilizzati. Il resto del codice non presenta modifiche significative rispetto alla versione di Windows.
L’annuncio afferma che Luna funziona solo con affiliati di lingua russa. La richiesta di riscatto codificata all’interno del binario contiene errori di ortografia. Ad esempio, riporta “a little team” anzichè “a small team”.
Per questo motivo, gli esperti di Kaspersky ritengono che gli attori dietro Luna parlino russo. Poiché Luna è un gruppo appena scoperto, ci sono ancora pochi dati sulla sua vittimologia.
Luna conferma l’attuale tendenza a sviluppare ransomware utilizzando linguaggi multipiattaforma come Golang e Rust. Un esempio notevole include BlackCat e Hive. Essendo le lingue indipendenti dalla piattaforma, il ransomware scritto in queste può essere facilmente trasferito da una piattaforma ad altre e, quindi, gli attacchi possono prendere di mira diversi sistemi operativi contemporaneamente. Inoltre, i linguaggi multipiattaforma aiutano a eludere l’analisi statica.
https://securelist.com/luna-black-basta-ransomware/106950/
