Wormhole Ransomware blocca i file delle vittime

Nella nostra indagine sul malware Wormhole, abbiamo stabilito che funziona come un ransomware con l'obiettivo principale di crittografare i file e richiedere un riscatto per la decrittazione. Oltre a crittografare i file, Wormhole altera i nomi dei file aggiungendo l'estensione ".Wormhole" (ad esempio, rinominando "1.jpg" in "1.jpg.Wormhole", "2.png" in "2.png.Wormhole" e così via ).

Il ransomware presenta anche una richiesta di riscatto ("Come recuperare file crittografati da Wormhole.txt") che ordina alle vittime di comunicare con gli aggressori tramite Tox o qTox (fornendo collegamenti per il download di questi strumenti). Consiglia alle vittime di configurare un proxy se lo strumento di chat riscontra problemi di connettività Internet.

Inoltre, la nota contiene il Tox ID dell'aggressore, che funge da identificatore univoco per scopi di comunicazione. Richiede al destinatario di inviare un file crittografato insieme a un ID wormhole per la decrittazione di prova.

Nota di riscatto per Wormhole completa

Il testo completo della richiesta di riscatto prodotta da Wormhole è il seguente:

Please contact us via Tox.chat tool or qtox tool
Download Tox.chat hxxps://tox.chat/download.html
Download qtox hxxps://github.com/qTox/qTox/blob/master/README.md#qtox
If your chat Tool cannot connect to the Internet, please set up a proxy.
Add our TOX ID and send an encrypted file and Wormhole ID for testing decryption.

Our TOX ID 503313BA88174FDF187C5009A43B45CBC144D313EFBF98BB75BFA084B5743E3ECA94499F95ED

Your Wormhole ID: -

Come viene comunemente distribuito il ransomware online?

Il ransomware viene comunemente distribuito online attraverso vari metodi, spesso sfruttando tattiche di ingegneria sociale e vulnerabilità nel software o nei sistemi. Ecco alcuni metodi di distribuzione comuni:

E-mail di phishing: uno dei metodi più diffusi è tramite e-mail di phishing che contengono allegati o collegamenti dannosi. Queste e-mail sono progettate per apparire legittime e possono indurre gli utenti ad aprire allegati o a fare clic su collegamenti che scaricano ed eseguono ransomware sui loro sistemi.

Collegamenti dannosi: il ransomware può essere distribuito tramite collegamenti dannosi condivisi tramite e-mail, social media o piattaforme di messaggistica istantanea. Facendo clic su questi collegamenti si potrebbe scaricare ed eseguire il ransomware sul dispositivo della vittima.

Kit di exploit: i criminali informatici utilizzano kit di exploit per sfruttare le vulnerabilità nel software o nei browser web. Quando un utente visita un sito Web compromesso, l'exploit kit scarica e installa automaticamente il ransomware sul computer della vittima a sua insaputa.

Compromissione del protocollo RDP (Remote Desktop Protocol): gli aggressori sfruttano credenziali deboli o predefinite per il protocollo RDP (Remote Desktop Protocol) per ottenere l'accesso non autorizzato al sistema della vittima. Una volta entrati, distribuiscono ransomware per crittografare i file e richiedere un riscatto.

Malvertising: annunci pubblicitari dannosi (malvertising) su siti Web legittimi possono reindirizzare gli utenti a siti Web che ospitano ransomware. Questi annunci pubblicitari possono apparire su siti Web popolari e sfruttare le vulnerabilità del browser o dei plug-in dell'utente per distribuire ransomware.