Sono state sviluppate nuove versioni del ransomware Albabat, che consentono agli autori della minaccia di prendere di mira più sistemi operativi (SO) e migliorare l'efficacia degli attacchi.
I ricercatori di Trend Micro hanno affermato che la versione 2.0 del ransomware non prende di mira solo Microsoft Windows, ma raccoglie anche informazioni di sistema e hardware su Linux e macOS.
Questa versione utilizza un account GitHub per archiviare e distribuire i file di configurazione per il ransomware.
L'uso di GitHub è progettato per semplificare le operazioni.
I ricercatori hanno trovato anche prove dello sviluppo di un'ulteriore variante del ransomware Albabat, la 2.5, che al momento non è stata utilizzata in natura.
I risultati dimostrano la rapida evoluzione degli strumenti e delle tecniche ransomware per espandere e potenziare gli attacchi.
Albabat è una variante di ransomware scritta in Rust , utilizzata per identificare e crittografare i file. È stata osservata per la prima volta nel novembre 2023.
Come funziona la nuova versione di Albabat
Trend Micro ha decodificato la nuova versione del ransomware per comprenderne le configurazioni.
La versione 2.0.0 prende di mira solo determinati file per la crittografia, tra cui themepack, .bat, .com, .cmd, .cpl.
Ignora cartelle come Ricerche, AppData, $RECYCLE.BIN e System Volume Information.
Inoltre, la nuova versione elimina processi come taskmgr.exe, processhacker.exe, regedit.exe, code.exe, excel.exe, powerpnt.exe, winword.exe e msaccess.exe. Ciò probabilmente aiuta a eludere il rilevamento e a disattivare gli strumenti o i servizi di sicurezza che potrebbero interferire con il processo di crittografia.
I ricercatori hanno osservato che il ransomware si collega a un database PostgreSQL per tracciare infezioni e pagamenti. Questi dati aiutano gli aggressori a fare richieste di riscatto, monitorare le infezioni e vendere i dati delle vittime.
In particolare, le configurazioni includono comandi per Linux e macOS, il che indica che i file binari sono stati sviluppati appositamente per queste piattaforme.
I ricercatori hanno anche scoperto che il repository GitHub billdev.github.io viene utilizzato per archiviare e distribuire i file di configurazione per il ransomware Albaba.
Questa pagina GitHub è stata creata poco più di un anno fa, il 27 febbraio 2024. L'account è registrato con il nome "Bill Borguiann", che è probabilmente un alias o uno pseudonimo.
Sebbene il repository utilizzato dal ransomware sia attualmente privato, resta accessibile tramite un token di autenticazione rilevato in Fiddler durante la connessione.
La cronologia dei commit del repository dimostra uno sviluppo attivo in corso del ransomware, con l'utente che modifica principalmente il codice di configurazione. Il commit più recente è stato il 22 febbraio 2025.
Un'altra variante di Albaba in fase di sviluppo
Nel repository GitHub è stata scoperta anche una cartella denominata 2.5.x, il che suggerisce che è in fase di sviluppo una nuova versione del ransomware.
Non è stato trovato alcun binario ransomware nella directory 2.5.x. Invece, è stato osservato un file config.json.
Questa configurazione includeva nuovi wallet di criptovaluta aggiunti per Bitcoin, Ethereum, Solana e BNB. Non sono state ancora rilevate transazioni in questi wallet.
Trend Micro ha affermato che i risultati dimostrano l'importanza di monitorare gli indicatori di compromissione (IoC) per anticipare minacce in continua evoluzione come Albaba.
Il monitoraggio degli IoC fornisce informazioni sui modelli di attacco, consentendo la creazione di strategie di prevenzione proattive.
Nessun commento:
Posta un commento