I ricercatori di Kaspersky Lab hanno scoperto un nuovo ransomware, denominato Luna.
Il suo codice malevolo è concepito per adattarsi a un utilizzo indipendente dal sistema operativo della vittima: Luna è stato sviluppato, infatti, utilizzando Rust, un linguaggio di programmazione che è appunto multi-piattaforma.
Indice degli argomenti
I dettagli del ransomware Luna
Grazie al sistema di monitoraggio attivo Darknet Threat Intelligence, la società di sicurezza informatica con base in Russia ha individuato i campioni del malware ricollegabile a un nuovo gruppo criminale.
Il nuovo ransomware Luna può essere utilizzato per crittografare i dispositivi che eseguono più sistemi operativi, inclusi i sistemi Windows, Linux ed ESXi (i server VMware).
La scoperta del ransomware è stata fatta seguendo alcune discussioni sull’argomento in un forum DarkNet nelle quali, appunto, si parla di Luna con un linguaggio rivolto agli operatori di lingua russa.
I ricercatori hanno inoltre notato che la richiesta di riscatto codificata all’interno del file binario è in lingua inglese e contiene errori di ortografia. Per questo motivo, presumono con un grado medio di certezza che gli attori parlino russo.
La tendenza multi-piattaforma dei ransomware
Come dicevamo, il malware è scritto in Rust ed è ancora in fase di sviluppo, con opzioni limitate in base alle opzioni della riga di comando disponibili.
Sulla base delle opzioni disponibili, Luna è piuttosto semplice. Tuttavia, lo schema di crittografia che utilizza non è così tipico, poiché include x25519 e AES, una combinazione che non si trova spesso negli schemi ransomware.
I campioni del ransomware Luna per piattaforme Linux ed ESXi vengono compilati utilizzando lo stesso codice sorgente con alcune modifiche minori rispetto alla versione Windows.
Come notano i ricercatori, la natura multi-piattaforma del ransomware consente, appunto, di poterlo diffondere indipendentemente dalla macchina utilizzata dalla vittima, con pochissime modifiche al codice sorgente, nonché di eludere l’analisi statica automatizzata del codice.
Quella di Luna è una tendenza che si conferma sicuramente in crescita, nell’ultimo periodo. Il ransomware multipiattaforma sta ponendo le basi per una nuova tipologia di sviluppo del software malevolo, avvalendosi di linguaggi OS-indipendent. Le moderne bande di ransomware fanno molto affidamento su linguaggi come Golang e Rust. BlackCat e Hive sono ottimi esempi di questa nuova tipologia di ransomware.
Poiché Luna è un gruppo criminale scoperto di recente, ci sono ancora pochi dati sulla sua vittimologia, ma Kaspersky stessa promette di monitorare l’attività al fine di poterne dettagliare il profilo con analisi successive.
