In un periodo in cui l’attenzione della cybersecurity si concentra sempre più su campagne di ransomware complesse, basate su doppia estorsione, esfiltrazione di dati e tecniche avanzate di intrusione, è facile sottovalutare le minacce più semplici ma ancora efficaci.
Questo caso dimostra come gli attori malevoli continuino a sfruttare strumenti pubblici e legittimi, come GitHub, per diffondere malware in modo insospettabile.
Durante un’attività di analisi, è stato individuato un nuovo ransomware scritto in Python e distribuito tramite un file .iso ospitato proprio su GitHub.
Il malware si articola in diverse fasi: dall’infezione iniziale, all’escalation dei privilegi, fino alla persistenza e alla crittografia dei file. L’attore responsabile dimostra una discreta sofisticazione, utilizzando PyInstaller per offuscare il codice e combinando algoritmi AES e RSA per una crittografia robusta.
A cura di Giovanni Pirozzi
Per approfondire l’analisi: