Thiefquest Mac Ransomware e decrittografia

Thiefquest è il nome di un ceppo di ransomware che ha fatto il giro nel 2020. Inizialmente si pensava che il malware fosse ransomware, poiché visualizzava un messaggio di avviso e rilasciava una richiesta di riscatto. Tuttavia, un'analisi più attenta ha rivelato che il malware non è esattamente un ransomware, ma piuttosto un tergicristallo.

Anche se Thiefquest avrebbe visualizzato un messaggio di avviso su entrambi i sistemi Windows e Mac e avrebbe rilasciato una richiesta di riscatto chiamata READ_ME_NOW.txt sul desktop e ci sarebbe stata una stringa di portafoglio bitcoin nella richiesta di riscatto, i ricercatori di sicurezza hanno rivelato che questo denaro era più simile una donazione ai malintenzionati che gestiscono il malware.

L'analisi ha mostrato che Thiefquest non aveva un'infrastruttura adeguata e identificatori solidi, che poteva utilizzare per identificare la vittima che aveva effettuato il pagamento.

I ricercatori ritengono che la richiesta di riscatto agisca più come una cortina fumogena, per mascherare il vero scopo del malware: l'esfiltrazione di dati e il furto.

Per i sistemi MacOS, Thiefquest viene distribuito in falsi installatori di app carichi di malware, fingendo di essere app popolari come Ableton Live e Mixed In Key - curiosamente entrambe le applicazioni orientate alle persone che lavorano nella produzione musicale.

Una volta distribuito sul computer della vittima, Thiefquest inizierà a crittografare i file e infine visualizzerà una finestra pop-up con il suo messaggio e il nome della sua richiesta di riscatto, nonché la richiesta di pagamento di $ 50 dollari.

Nell'attuale panorama del malware, in cui gli autori delle minacce prendono di mira società ed entità multimilionarie, le richieste di riscatto di $ 50 sembrano ridicole, ma il ransomware come Thiefquest non è uno strumento di attacco mirato. Mentre la maggior parte dei moderni operatori di ransomware ricerca attentamente i propri obiettivi ed esegue attacchi di precisione, il ransomware come Thiefquest viene distribuito attraverso campagne di spam dannose o download dannosi ospitati online.

Ulteriori ricerche hanno dimostrato che il codice di Thiefquest non contiene alcuna chiamata alla sua routine di decrittazione, quindi non c'è praticamente alcun modo per ripristinare i file crittografati inviando denaro agli operatori di ransomware.

Una caratteristica curiosa di Thiefquest è che cercherà effettivamente file eseguibili e vi aggiungerà codice dannoso, conferendogli un comportamento simile a un virus e rendendolo uno dei pochissimi ceppi di malware simili a virus che colpiscono i sistemi MacOS.

Per gli utenti Mac, esiste uno strumento di decrittazione gratuito per Thiefquest pubblicato online. Lo strumento è stato sviluppato dalla società di sicurezza informatica SentinelOne e si basava sulla ricerca di una funzione di decrittografia all'interno del codice del malware. Puoi scaricare lo strumento gratuitamente online e utilizzarlo per decrittografare un sistema che è stato colpito dal malware Thiefquest.