Secondo gli esperti il malware avrebbe evitato i sistemi che utilizzano lingue predefinite usate nelle repubbliche dell’ex Unione Sovietica
Quello che sembrava un attacco ransomware indiscriminato, visto che ha colpito e bloccato migliaia di aziende piccole e grandi negli Stati Uniti e in altre parti del mondo, forse così indiscriminato non era. Secondo esperti di sicurezza informatica il malware che ha colpito il fornitore americano di servizi informatici, Kaseya, e a pioggia i suoi clienti, potrebbe essere stato codificato per non danneggiare proprio tutti. I ricercatori di Trustwave hanno scoperto infatti che il virus ha evitato i sistemi dei paesi dell’ex Unione Sovietica.
Trustwave ha affermato che il ransomware “evita i sistemi che hanno lingue predefinite provenienti da quella che era la regione dell’Urss. Ciò include russo, ucraino, bielorusso, tagiko, armeno, azero, georgiano, kazako, kirghiso, turkmeno, uzbeko, tataro, rumeno, russo moldavo, siriaco e arabo siriano”.
Ad avere rivendicato l’attacco è stato il gruppo di hacker REvil, che secondo gli analisti opera in Russia con il tacito assenso delle autorità e che si era già reso protagonista di altri attacchi nelle scorse settimane.
Gli esperti di sicurezza avevano precedentemente suggerito che l’installazione di una tastiera cirillica potrebbe essere sufficiente per convincere un malware che sei russo. Il malware di solito esplora l’elenco delle tastiere installate in Windows nel tentativo di determinare il paese di utilizzo del computer bersaglio.
L’attacco dello scorso weekend ha colpito piattaforma Vsa (Virtual System/Server Administrator) di Kaseya. Ha coinvolto circa 60 clienti su 35.000 che utilizzano la versione on-premise della piattaforma, molti dei quali sono a loro volta fornitori che erogano servizi a terzi utilizzando Vsa per gestire le reti di altre aziende. REvil ha sfruttato un bug nel sistema per distribuire ransomware su computer di tutto il mondo, tranne, si è scoperto, in Russia e negli altri paesi dell’ex Unione Sovietica
Questa azione, che ha bloccato piccole imprese e grandi catene come la svedese Coop, chiedendo il pagamento di un riscatto, è stato già definita la più grande campagna ransomware mai realizzata.
Leggi anche