Aggiornato il ransomware CryptXXX: potenzialità di guadagno ancora maggiori, per i cybercriminali

Il ransomware CryptXXX ha ricevuto un importante aggiornamento; il nuovo update sembra di fatto consegnare a questo temibile malware la palma del primato in termini di “redditività”, tra tutti i possibili concorrenti. Sino ad ora, il progetto criminale di maggior successo, in tal senso, era indubbiamente rappresentato dal famigerato malware crittografico Locky.

I ricercatori di Proofpoint hanno individuato la release 3.100 del cryptoblocker lo scorso 26 maggio; secondo gli esperti, CryptXXX ha acquisito un nuovo modulo StillerX, preposto al furto delle credenziali relative a varie applicazioni, dai client utilizzati nell’ambito dei casinò online alle VPN Cisco.

“CryptXXX si presenta, a tutti gli effetti, come il tema caldo del momento, – ha osservato, nel corso di un’intervista rilasciata a Threatpost, Kevin Epstein, Vice-presidente di Proofpoint e responsabile del Threat Operations Center allestito dalla società statunitense. – Con TeslaCrypt ormai fuori dai giochi, sembra proprio che sia comparso sulla scena del business ransomware un accanito rivale di Locky, in grado di competere con quest’ultimo per numero di infezioni realizzate e aggressività dimostrata nel processo di diffusione”.

Secondo quanto riferisce Epstein, la distribuzione del nuovo CryptXXX viene realizzata attraverso lo stesso identico gruppo cybercriminale che, ormai da diverso tempo, opera con successo con il noto exploit pack Angler. “È lecito attendersi che la superficie di attacco, per quel che riguarda CryptXXX, possa estendersi in maniera considerevole, – avverte l’esperto. – In base alle stime più prudenti, essi potranno procurare circa 50.000 infezioni al giorno, da parte di CryptXXX; gli introiti quotidiani realizzati dai criminali estorsori saliranno, così, fino a 100-200.000 dollari”.

Le modalità adottate per la distribuzione di CryptXXX risultano tuttavia diverse dal metodo abitualmente impiegato dai malintenzionati per ottenere la diffusione di Locky: quest’ultimo, come è noto, viene spesso recapitato attraverso appositi mailing di spam nocivo, provenienti dalle botnet Dridex. Gli operatori di CryptXXX, da parte loro, preferiscono avvalersi del redirecting degli utenti-vittima verso le pagine web malevole contenenti gli exploit.

CryptXXX 3.100 ricerca i file target, destinati alla codifica, non solo sui dischi locali e sulle unità rimovibili; il ransomware qui analizzato, in effetti, scansiona ugualmente la porta 445 del gateway di rete (utilizzata per le connessioni client-server nell’ambito delle reti locali, in base al protocollo SMB), allo scopo di individuare “le risorse condivise in rete, “contare” i file presenti in ogni directory comune, e cifrare poi, progressivamente, i target specifici, uno per uno”, si legge in un blog post pubblicato di recente sul sito web di Proofpoint.

Con la release della versione 3.100, i malintenzionati hanno anche provveduto ad aggiornare il portale Internet di riferimento, da essi utilizzato per la gestione dei pagamenti. Le modifiche introdotte hanno riguardato, in particolar modo, l’interfaccia GUI e le funzioni correlate al blocco dello schermo. “CryptXXX si caratterizza per la grande rapidità dei suoi cicli di sviluppo”, – afferma Epstein.

Questo cryptoblocker è apparso per la prima volta sui radar di Proofpoint il 15 aprile scorso, ed ha subito evidenziato una costante crescita in termini di “popolazione”, ovvero di infezioni realizzate. L’espansione iniziale è andata poi attenuandosi con l’apparizione del relativo decryptor, che Kaspersky Lab ha provveduto ad aggiungere alla propria utility RannohDecryptor lo scorso 26 aprile.

In base alla descrizione di RannohDecryptor presente sul sito web della società specializzata in sicurezza IT – nella sezione dedicata al supporto tecnico – l’utility in questione funziona perfettamente nei confronti delle prime due versioni di CryptXXX; la terza versione del ransomware, invece, viene sì riconosciuta dal tool, ma quest’ultimo non è in grado di decodificare i file precedentemente criptati. Ne consegue, quindi, che RannohDecryptor, per il momento, non può risultare di aiuto per quel che riguarda, ovviamente, i file cifrati da CryptXXX 3.100.

Il suddetto blocker si rivela particolarmente pericoloso non solo per il fatto che codifica i file (aggiungendo l’estensione .crypt); esso, in effetti, provvede anche a copiare gli stessi, innalzando sensibilmente i rischi correlati al furto di identità. CryptXXX, inoltre, è in grado di realizzare il furto dei bitcoin custoditi sul disco locale.

Fonte: Threatpost

Post correlati

Lascia un commento

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *