CTB-Locker/Critroni è andato a farsi una passeggiata sui siti web

Il ransomware CTB-Locker, alias Critroni, è uscito da una sorta di lungo letargo, e prende di mira nuovi target: ha in effetti iniziato ad attaccare i siti Internet. I ricercatori hanno denominato questa variante CTB-Locker for Websites; la versione aggiornata del blocker cifra il contenuto dei siti web, e richiede, poi, il pagamento di un riscatto pari a 0,4 bitcoin (425 dollari USD) per poter ottenere l’accesso alla chiave necessaria per l’operazione di decodifica.

Nell’avvertire in merito alla comparsa di CTB-Locker for Websites, Lawrence Abrams, esperto di minacce Internet e fondatore di BleepingComputer, ha fatto notare come gli “operatori” di tale malware compromettano i server che ospitano i siti web, per poi provvedere alla sostituzione del file index.php o index.html.

“Il nuovo file index.php viene utilizzato per cifrare i dati presenti sul sito-vittima, per mezzo di una chiave AES-256; allo stesso tempo, il file malevolo fa sì che l’utente visualizzi una nuova home page, la quale descrive esattamente cosa è avvenuto con i file e, soprattutto, come procedere al pagamento del riscatto”, – scrive Abrams nel proprio blog post.

CTB-Locker, ampiamente diffuso nel 2014, non è tuttavia così “prolifico” come TeslaCrypt, CryptoWall o Locky. La variante CTB-Locker for Websites è stata individuata da un ricercatore noto con lo pseudonimo di Benkow Wokned; la versione aggiornata del malware, secondo le stime di Abrams, ha già infettato oltre un centinaio di siti. Ad ogni caso, questa iterazione di CTB-Locker, secondo il parere dell’esperto, difficilmente si rivelerà così efficace come la versione destinata all’OS Windows: a livello di siti web, in effetti, viene comunemente adottata la pratica del backup; i file codificati, quindi, possono essere agevolmente ripristinati, senza dover necessariamente pagare il riscatto.

Non è ancora chiaro, per il momento, quale sia la vulnerabilità sfruttata da CTB-Locker for Websites. Lawrence Abrams, da parte sua, suppone che i malintenzionati attacchino i siti WordPress vulnerabili. I messaggi che compaiono sulla home page del sito web infetto recitano, più o meno, così: “I vostri script, documenti, foto, database, ed altri file importanti, sono stati criptati per mezzo dell’algoritmo di cifratura AES-256 e di una chiave univoca, appositamente generata per questo sito”. È di particolare interesse rilevare come il testo relativo alle istruzioni di pagamento sia preceduto da un link al noto consiglio espresso dall’FBI, ovvero “pagare semplicemente il riscatto“.

Inoltre, a titolo di prova, viene proposto alla vittima di scegliere due file, i quali saranno decodificati gratuitamente. Gli estorsori forniscono ugualmente, agli utenti-vittima, la possibilità di entrare in contatto con loro, tramite un’apposita chat.

Riferendosi all’indagine condotta da Benkow Wokned, Abrams fornisce alcuni dati relativi alle comunicazioni “intrattenute” da CTB-Locker for Websites: ad esempio, per gli scambi effettuati con i server C&C, così come per l’invio dei dati, il malware utilizza la funzione jQuery.post(). Al momento attuale, sono stati individuati tre server di comando e controllo relativi a CTB-Locker for Websites, situati nei domini erdeni[.]ru, studiogreystar[.]com e a1hose[.]com.

Fonte: Threatpost

Post correlati

Lascia un commento

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *