Negli ultimi mesi, il gruppo ransomware Dire Wolf ha fatto la sua comparsa nel panorama cybercriminale, distinguendosi per l’uso di un malware chiamato SNOWFANG, sviluppato in linguaggio Go.
Questo ransomware, attivo da maggio 2025, ha già colpito numerose organizzazioni in settori diversificati, dalla manifattura ai servizi finanziari, con vittime sparse tra Turchia, Thailandia, Taiwan, Singapore, India e Canada. A differenza di altri gruppi che operano con motivazioni politiche o ideologiche, Dire Wolf si presenta senza ambiguità: il loro unico obiettivo è il classico profitto economico, come dichiarato apertamente nella sezione “About” del loro data leak site (DLS).
SNOWFANG: tecniche e funzionalità avanzate
SNOWFANG è un ransomware particolarmente aggressivo, progettato per cifrare non solo i file locali, ma anche quelli su unità rimovibili e condivisi in rete. Utilizza una combinazione degli algoritmi Curve25519 e Chacha20 per crittografare i dati, generando una chiave unica per ogni file. I file cifrati vengono rinominati con l’estensione .direwolf, mentre nelle directory colpite viene lasciato un messaggio di riscatto denominato HowToRecoveryFiles.txt.
Per massimizzare il danno, SNOWFANG adotta diverse contromisure per impedire il ripristino dei sistemi:
- Termina processi e servizi critici, tra cui quelli legati a backup (es. Veeam, SQL Server, Acronis) e sicurezza (es. Sophos, DefWatch).
- Elimina le copie shadow dei volumi con comandi come
vssadmin delete shadows /all /quietewbadmin delete catalog -quiet. - Disabilita i log di Windows tramite
wevtutil clper coprire le tracce dell’attacco. - Forza il riavvio del sistema entro 10 secondi con
shutdown /r /t 10.
Un dettaglio tecnico rilevante è l’uso di un mutex (“Global\direwolfAppMutex”) per evitare infezioni duplicate e la presenza di un file marker (C:\tvmfinish.exe) per segnalare che il sistema è stato compromesso. Inoltre, il malware ignora alcune estensioni di file (es. .exe, .dll, .sys) per garantire il funzionamento del sistema infetto.
IoC
Sulla discussione relativa a questo post si possono trovare YARA rules per detection e altri indicatori utili relativi a questo gruppo e al malware.
La pressione psicologica: il doppio ricatto
Oltre alla cifratura dei dati, Dire Wolf minaccia di pubblicare i dati rubati se il riscatto non viene pagato. Il loro DLS include un’interfaccia di negoziazione dove le vittime devono inserire un Room ID, username e password (forniti nel messaggio di riscatto). Le tattiche di coercizione includono avvertimenti su possibili conseguenze legali, perdita di reputazione e crolli azionari, sottolineando che il costo del decryptor è “irrisorio” rispetto al danno subito.
Per mitigare il rischio, è essenziale:
- Monitorare l’avvio sospetto di processi PowerShell o cmd con parametri insoliti (es. taskkill su servizi di backup).
- Implementare regole di rete per bloccare l’accesso a domini TOR o indirizzi IP anonimi.
- Isolare immediatamente i sistemi infetti per prevenire la diffusione lateralmente.
Dire Wolf rappresenta una minaccia crescente, soprattutto per la sua natura indiscriminata e l’assenza di motivazioni oltre il profitto. L’uso di Go rende SNOWFANG cross-platform e difficile da analizzare, mentre le tattiche di pressione psicologica aumentano la probabilità di pagamento. La difesa richiede un approccio proattivo, con particolare attenzione al monitoraggio dei servizi critici e alla segmentazione di rete.
