News

CTB-Locker/Critroni è andato a farsi una passeggiata sui siti web

Il ransomware CTB-Locker, alias Critroni, è uscito da una sorta di lungo letargo, e prende di mira nuovi target: ha in effetti iniziato ad attaccare i siti Internet. I ricercatori hanno denominato questa variante CTB-Locker for Websites; la versione aggiornata del blocker cifra il contenuto dei siti web, e richiede, poi, il pagamento di un riscatto pari a 0,4 bitcoin (425 dollari USD) per poter ottenere l’accesso alla chiave necessaria per l’operazione di decodifica.

Nell’avvertire in merito alla comparsa di CTB-Locker for Websites, Lawrence Abrams, esperto di minacce Internet e fondatore di BleepingComputer, ha fatto notare come gli “operatori” di tale malware compromettano i server che ospitano i siti web, per poi provvedere alla sostituzione del file index.php o index.html.

“Il nuovo file index.php viene utilizzato per cifrare i dati presenti sul sito-vittima, per mezzo di una chiave AES-256; allo stesso tempo, il file malevolo fa sì che l’utente visualizzi una nuova home page, la quale descrive esattamente cosa è avvenuto con i file e, soprattutto, come procedere al pagamento del riscatto”, – scrive Abrams nel proprio blog post.

CTB-Locker, ampiamente diffuso nel 2014, non è tuttavia così “prolifico” come TeslaCrypt, CryptoWall o Locky. La variante CTB-Locker for Websites è stata individuata da un ricercatore noto con lo pseudonimo di Benkow Wokned; la versione aggiornata del malware, secondo le stime di Abrams, ha già infettato oltre un centinaio di siti. Ad ogni caso, questa iterazione di CTB-Locker, secondo il parere dell’esperto, difficilmente si rivelerà così efficace come la versione destinata all’OS Windows: a livello di siti web, in effetti, viene comunemente adottata la pratica del backup; i file codificati, quindi, possono essere agevolmente ripristinati, senza dover necessariamente pagare il riscatto.

Non è ancora chiaro, per il momento, quale sia la vulnerabilità sfruttata da CTB-Locker for Websites. Lawrence Abrams, da parte sua, suppone che i malintenzionati attacchino i siti WordPress vulnerabili. I messaggi che compaiono sulla home page del sito web infetto recitano, più o meno, così: “I vostri script, documenti, foto, database, ed altri file importanti, sono stati criptati per mezzo dell’algoritmo di cifratura AES-256 e di una chiave univoca, appositamente generata per questo sito”. È di particolare interesse rilevare come il testo relativo alle istruzioni di pagamento sia preceduto da un link al noto consiglio espresso dall’FBI, ovvero “pagare semplicemente il riscatto“.

Inoltre, a titolo di prova, viene proposto alla vittima di scegliere due file, i quali saranno decodificati gratuitamente. Gli estorsori forniscono ugualmente, agli utenti-vittima, la possibilità di entrare in contatto con loro, tramite un’apposita chat.

Riferendosi all’indagine condotta da Benkow Wokned, Abrams fornisce alcuni dati relativi alle comunicazioni “intrattenute” da CTB-Locker for Websites: ad esempio, per gli scambi effettuati con i server C&C, così come per l’invio dei dati, il malware utilizza la funzione jQuery.post(). Al momento attuale, sono stati individuati tre server di comando e controllo relativi a CTB-Locker for Websites, situati nei domini erdeni[.]ru, studiogreystar[.]com e a1hose[.]com.

Fonte: Threatpost

CTB-Locker/Critroni è andato a farsi una passeggiata sui siti web

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *

 

Report

Evoluzione dei malware mobile – 2016

Ha continuato a crescere in maniera davvero sensibile, nel corso del 2016, il numero dei Trojan pubblicitari in grado di utilizzare i diritti di superutente. Si è trattato, lungo tutto l’arco dell’anno, della minaccia informatica numero 1; al momento attuale non scorgiamo, peraltro, validi motivi ed argomenti che lascino intravedere qualche cambiamento riguardo a tale specifica tendenza.

Lo spam nell’anno 2016

Nel 2016, all’interno dei flussi di spam, si sono verificati diversi cambiamenti; tra di essi, quello più significativo riguarda il sensibile aumento del numero di mailing di massa preposte alla distribuzione dei temibili programmi ransomware. Considerando l’effettiva disponibilità, sul mercato nero, di simili software nocivi, è presumibile che tale tendenza continui a manifestarsi anche nell’anno in corso.

Kaspersky Security Bulletin 2016. Rassegna annuale. Le statistiche dell’anno 2016

Il 2016 è stato, nell’ambito della cyber sicurezza, un anno davvero intenso e turbolento, caratterizzato da imponenti botnet IoT, ransomware, attacchi mirati di cyber spionaggio, ingenti furti nella sfera finanziaria, “hacktivismo” e molto altro ancora. Il Kaspersky Security Bulletin 2016 e il report Statistics di Kaspersky Lab forniscono un quadro dettagliato della situazione; qui, invece, si può leggere l’Executive Summary.

Kaspersky Security Bulletin 2016. La rivoluzione del ransomware

Tra gennaio e settembre 2016 gli attacchi ransomware diretti alle imprese sono aumentati di tre volte, fino all’equivalente di un attacco ogni 40 secondi. Con il boom del ransomware-as-a-service, ed il lancio del progetto NoMoreRansom, Kaspersky Lab ha definito il ransomware come il proprio “tema chiave” per il 2016.

Iscriviti alle nostre e-mail settimanali

La ricerca più all'avanguardia, direttamente nella tua inbox