Cloud Security

La cifratura post-quantistica è già in uso... per il ransomware

di pubblicata il , alle 13:11 nel canale Security La cifratura post-quantistica è già in uso... per il ransomware

L'azienda di cybersicurezza Rapid7 ha rilevato un nuovo gruppo di criminali dediti a creare e distribuire ransomware: si chiama Kyber ed è il primo a usare la crittografia post-quantistica per fare danni

 

Si sa che i criminali informatici sono tra i primi a sfruttare nuove tecniche e tecnologie per superare le difese delle proprie vittime: abbiamo assistito a questo fenomeno con l'IA e ora è il turno della crittografia post-quantistica. Un nuovo gruppo ransomware, noto come Kyber, si è infatti fatto notare per via del suo uso del cifrario Kyber1024 nelle sue attività.

La crittografia post-quantistica usata per il crimine

La società di cybersicurezza Rapid7 ha pubblicato un'analisi delle attività di Kyber, un nuovo gruppo di criminali che fa dell'uso della crittografia post-quantistica il suo principale elemento di distinzione.

Il gruppo ha sviluppato un ransomware in due varianti, una per Windows e una per Linux ed ESXi. Se quest'ultima usa in realtà sistemi tradizionali (ChaCha8 e AES) per portare a termine il proprio compito, la versione per Windows usa AES per cifrare i file e Kyber1024, che è tra i cifrari post-quantistici approvati dal NIST nel 2022, per cifrare la chiave simmetrica usata per AES.

L'approccio del gruppo Kyber è dunque doppiamente interessante, perché sfrutta un sistema a doppio cifrario (a chiave simmetrica per la cifratura effettiva, e a chiave pubblica per proteggere la chiave simmetrica) e perché uno di questi cifrari è post-quantistico. Va notato che questo non viene impiegato direttamente per la cifratura dei file.

Il ransomware sfrutta molte funzionalità fornite dai sistemi operativi vittima: ad esempio, nel caso di ESXi sfrutta gli strumenti integrati per ottenere una lista delle VM in esecuzione e cifrarne i dischi; nel caso di Windows, sfrutta PowerShell per disabilitare funzionalità come le copie shadow e il Windows Recovery Environment, così da precludere la possibilità di un ripristino.

Attualmente il gruppo ha nominato solo una vittima sul suo sito Tor, un'azienda statunitense impegnata nel ramo della difesa. Le attività di Kyber, tuttavia, sembrano febbrili: Rapid7 ha rilevato più di 900 attacchi nel solo mese di marzo.

I migliori sconti su Amazon oggi

TCL 43T6C 43'' QLED TV 4K HDR, Fire TV (Smart tv con Dolby Vision e Atmos, HDR10+, Premi e Chiedi ad Alexa)

259.00 Compra ora

Lefant M330Pro Robot Aspirapolvere Lavapavimenti con Mappatura, Navigazione dToF, Zona vietata, Evitamento ostacoli PSD, Aspirazione 5000Pa, 150 minuti, Pulizia programmata, Alexa/APP/WiFi,Nero

137.75 Compra ora
-21%

Amazfit Active 2 Smart Watch 44mm, AI, Controllo Vocale, GPS e Mappe incluse, Batteria da 10 Giorni, 160+ Modalità Sportive, Resistente allAcqua 5 ATM per Android e iPhone, Nero

99.90 79.00 Compra ora
0 Commenti
Gli autori dei commenti, e non la redazione, sono responsabili dei contenuti da loro inseriti - info

Devi effettuare il login per poter commentare
Se non sei ancora registrato, puoi farlo attraverso questo form.
Se sei già registrato e loggato nel sito, puoi inserire il tuo commento.
Si tenga presente quanto letto nel regolamento, nel rispetto del "quieto vivere".

La discussione è consultabile anche qui, sul forum.
^