Chaos Ransomware alapú wiper támadja az olasz közigazgatást

A SonicWall Capture Labs fenyegetéskutató csoportja egy új, a Chaos ransomware builder segítségével készült malware-változatot azonosított, amely nem hagyományos zsarolóprogramként, hanem fájlmegsemmisítőként működik. Ez a rosszindulatú szoftver a jelek szerint olasz kormányzati infrastruktúrát céloz meg, állítólag válaszul Olaszország Izrael-palesztin konfliktussal kapcsolatos álláspontjára. A wipert állítólag az Olasz Szocialista Párt nevében hozták létre, elsődleges célja azonban nem a zsarolás, hanem a fájlok megsemmisítése.

A fertőzés után a kártevő titkosítja a rendszerben lévő fájlokat, és mindegyikhez egy véletlenszerű négykarakteres alfanumerikus kiterjesztést ad. Nem tárolja a visszafejtési kulcsot, így a fájlok helyreállítása lehetetlenné válik. A kártevő egy olasz nyelvű üzenetet tartalmazó “Leggimi.txt” fájlt dob le, amely elítéli Olaszország Izraellel kötött szövetségét, és megtorlásként fájlok megsemmisítésével fenyeget. A kártevő meghatározott fájlkiterjesztéseket és könyvtárakat céloz meg, és beágyaz egy képfájlt, amely megváltoztatja az asztali háttérképet. A SonicWall Capture Labs a GAV: Cambiare_Rotta.RSM (Trojan) aláírással nyújt védelmet ez ellen a fenyegetés ellen.

(forrás)