I ricercatori della società di sicurezza McAfee hanno scoperto un ransomware che attacca i giocatori e che ha anche il potenziale di diventare una seria minaccia. Durante la continua ricerca di nuove minacce, si è scoperta una nuova famiglia di ransomware chiamata Anatova. La prima apparizione di questo ransomware è stata il 1° gennaio di quest’anno e, secondo i ricercatori, il codice alla base di questo malware mostra che i suoi sviluppatori sono esperti criminali informatici.
Una grande minaccia
Secondo la fonte, Anatova ha la capacità di trasformarsi rapidamente, con la possibilità di aggiungere facilmente nuove tattiche di evasione e meccanismi di espansione. Anatova incorpora una crittografia solida che utilizza una coppia di chiavi RSA per bloccare gli utenti dei file. Una tattica che è stata utilizzata da alcune delle famiglie di ransomware di successo, come GandCrab e Crysis.
Un’estensione modulare
Christiaan Beek, scienziato e ingegnere senior di McAfee, ha detto che questo ransomware è molto pericoloso, grazie a queste funzionalità, poiché ha un’architettura modulare che consente di aggiungere rapidamente nuove funzionalità, rendendo difficile per gli esperti superare questo ransomware.
Anatova ha il potenziale di diventare molto pericoloso con la sua architettura modulare, il che significa che nuove funzionalità possono essere facilmente aggiunte. Il malware incorpora funzionalità sufficienti per garantire che i metodi tipici per superare il ransomware siano inefficaci.
Come funziona?
I ricercatori affermano che Anatova si propone come download gratuito di giochi e software, poiché viene trasmesso attraverso le reti P2P. Anatova usa solitamente l’icona di un gioco o di un’applicazione per ingannare l’utente e ha un manifest per richiedere i diritti di amministratore.
Una volta inserito in un sistema legittimo, crea una coppia di chiavi RSA tramite un’API crittografica responsabile della crittografia di tutte le catene prima di generare chiavi casuali per crittografare il sistema di destinazione ed eseguire il processo di implementazione completo del ransomware.
Come tutto i ransomware, i criminali informatici infettano il computer dopo aver chiesto un riscatto in criptomonete dell’ammontare di 10 Dash, circa 700 dollari per i file Decrypt. In questa nota di riscatto, gli hacker chiedono di fornire una moneta cripto e-wallet e dicono all’utente che, dopo aver effettuato il pagamento, verrà inviata una mail che fornirà una chiave di decodifica.
Solo alcuni paesi sono “infetti”
Anche se non è noto con certezza cosa stia alla base di questo nuovo ransomware, è noto che esso non riguarda tutti i Paesi della CSI (la Siria, l’Egitto, il Marocco, l’Iraq e l’India) perché i ricercatori non escludono che i criminali informatici vengono da alcuni di essi. Finora, questo ransomware ha infettato computer che si trovano negli Stati Uniti, in Belgio, in Germania, in Francia, nel Regno Unito e in altri paesi europei.