L'ANALISI TECNICA

Luna, il nuovo ransomware capace d’infettare Windows, Linux e server virtuali ESXi

Sulla scena del cyber crimine è comparso il ransomware Luna: è ancora in fase di sviluppo, ma implementa già numerose innovazioni tecnologiche. Scritto in linguaggio Rust, è multipiattaforma e capace di colpire sistemi Windows, Linux ed ESXi. Ecco la nostra analisi

21 Lug 2022
F
Dario Fadda

Research Infosec, fondatore Insicurezzadigitale.com

I ricercatori di Kaspersky Lab hanno scoperto un nuovo ransomware, denominato Luna.

Il suo codice malevolo è concepito per adattarsi a un utilizzo indipendente dal sistema operativo della vittima: Luna è stato sviluppato, infatti, utilizzando Rust, un linguaggio di programmazione che è appunto multi-piattaforma.

I dettagli del ransomware Luna

Grazie al sistema di monitoraggio attivo Darknet Threat Intelligence, la società di sicurezza informatica con base in Russia ha individuato i campioni del malware ricollegabile a un nuovo gruppo criminale.

WHITEPAPER
Digitalizzazione delle PMI: i 7 cambiamenti da affrontare per diventare un’impresa data-driven
Big Data
Business Analytics

Il nuovo ransomware Luna può essere utilizzato per crittografare i dispositivi che eseguono più sistemi operativi, inclusi i sistemi Windows, Linux ed ESXi (i server VMware).

La scoperta del ransomware è stata fatta seguendo alcune discussioni sull’argomento in un forum DarkNet nelle quali, appunto, si parla di Luna con un linguaggio rivolto agli operatori di lingua russa.

I ricercatori hanno inoltre notato che la richiesta di riscatto codificata all’interno del file binario è in lingua inglese e contiene errori di ortografia. Per questo motivo, presumono con un grado medio di certezza che gli attori parlino russo.

La tendenza multi-piattaforma dei ransomware

Come dicevamo, il malware è scritto in Rust ed è ancora in fase di sviluppo, con opzioni limitate in base alle opzioni della riga di comando disponibili.

Sulla base delle opzioni disponibili, Luna è piuttosto semplice. Tuttavia, lo schema di crittografia che utilizza non è così tipico, poiché include x25519 e AES, una combinazione che non si trova spesso negli schemi ransomware.

I campioni del ransomware Luna per piattaforme Linux ed ESXi vengono compilati utilizzando lo stesso codice sorgente con alcune modifiche minori rispetto alla versione Windows.

Come notano i ricercatori, la natura multi-piattaforma del ransomware consente, appunto, di poterlo diffondere indipendentemente dalla macchina utilizzata dalla vittima, con pochissime modifiche al codice sorgente, nonché di eludere l’analisi statica automatizzata del codice.

Quella di Luna è una tendenza che si conferma sicuramente in crescita, nell’ultimo periodo. Il ransomware multipiattaforma sta ponendo le basi per una nuova tipologia di sviluppo del software malevolo, avvalendosi di linguaggi OS-indipendent. Le moderne bande di ransomware fanno molto affidamento su linguaggi come Golang e Rust. BlackCat e Hive sono ottimi esempi di questa nuova tipologia di ransomware.

Poiché Luna è un gruppo criminale scoperto di recente, ci sono ancora pochi dati sulla sua vittimologia, ma Kaspersky stessa promette di monitorare l’attività al fine di poterne dettagliare il profilo con analisi successive.

@RIPRODUZIONE RISERVATA

Articolo 1 di 5