RansomHouse Alza la Poste: Dentro la Spietata Evoluzione della Cifratura ‘Mario’

Quando gli estorsori informatici affinano i loro strumenti, il mondo prende nota. In una gelida dimostrazione di escalation tecnica, RansomHouse - un collettivo ransomware-as-a-service noto per attacchi calcolati - ha rilasciato un nuovo cifratore soprannominato ‘Mario’. Questo ultimo aggiornamento è molto più di una semplice modifica software: è il segnale di una corsa agli armamenti sempre più serrata tra i criminali informatici e chi cerca di fermarli.

RansomHouse è emerso per la prima volta alla fine del 2021, facendosi rapidamente un nome come gruppo di estorsione dati prima di adottare tattiche ransomware a tutti gli effetti. Le sue operazioni hanno preso di mira organizzazioni di alto profilo, colpendo di recente il gigante giapponese dell’e-commerce Askul Corporation con una combinazione di famiglie ransomware. Ma è la costante attenzione del gruppo all’innovazione tecnica a mettere in allerta gli esperti di sicurezza.

La loro ultima arma, il cifratore ‘Mario’, ne è un esempio lampante. A differenza delle versioni precedenti che si basavano su un singolo passaggio di cifratura lineare, Mario impiega un processo in due fasi. Ogni file bersaglio viene cifrato utilizzando sia una chiave primaria da 32 byte che una secondaria da 8 byte, aumentando drasticamente l’entropia della cifratura. In parole semplici, questo rende i file molto più difficili da decifrare - anche con strumenti forensi avanzati - aumentando notevolmente il rischio per le vittime che devono decidere se pagare o tentare il recupero.

Ma l’innovazione non si ferma qui. Mario introduce la dimensione dinamica dei blocchi - cioè cambia la quantità di file cifrata alla volta, in base alla dimensione del file, soprattutto se supera gli 8GB. Unita a una cifratura intermittente (anziché continua) e a una logica matematica complessa per determinare l’ordine di elaborazione, questa strategia ostacola l’analisi statica e confonde i difensori che tentano di fare reverse engineering dell’attacco.

Dietro le quinte, la gestione della memoria e dei buffer è stata completamente rivista per maggiore complessità e affidabilità. Il risultato? Uno strumento non solo più difficile da analizzare, ma anche più robusto in ambienti moderni e su larga scala come gli hypervisor VMware ESXi - un bersaglio privilegiato per il ransomware aziendale.

Per le vittime, il risultato è dolorosamente chiaro: i file cifrati vengono rinominati con la nuova estensione ‘.emario’ e una dettagliata richiesta di riscatto viene lasciata in ogni directory colpita. Il recupero senza pagare il riscatto ora appare più lontano che mai.

Sebbene RansomHouse non sia tra i primi per volume di attacchi, il suo investimento in strumenti sofisticati ed elusivi segnala un cambio di strategia. Invece di lanciare una rete a strascico, questo gruppo perfeziona il proprio arsenale, rendendo ogni attacco più devastante - e più difficile da decifrare per i difensori. Mentre il ransomware continua la sua cupa evoluzione, ‘Mario’ rappresenta un avvertimento netto: la guerra tecnologica per i dati è tutt’altro che finita.

WIKICROOK

• Ransomware: Il ransomware è un software dannoso che cifra o blocca i dati, chiedendo un pagamento alle vittime per ripristinare l’accesso ai file o ai sistemi.
• Entropia della Cifratura: L’entropia della cifratura misura quanto i dati cifrati appaiano casuali, aiutando a proteggere le informazioni rendendo più difficile per gli attaccanti trovare schemi o indizi.
• VMware ESXi Hypervisor: VMware ESXi Hypervisor è una solida piattaforma di virtualizzazione che consente più macchine virtuali su un solo server, ampiamente utilizzata in ambienti aziendali e spesso presa di mira dalle minacce informatiche.
• Analisi Statica: L’analisi statica esamina il codice senza eseguirlo per rilevare errori o vulnerabilità in anticipo, contribuendo a migliorare la qualità e la sicurezza del software.
• Buffer: Un buffer è un’area di memoria utilizzata per memorizzare temporaneamente dati, essenziale per l’elaborazione sicura dei dati e la cifratura in ambienti di cybersicurezza.