News

FireCrypt, il ransomware con funzionalità DDoS

Il ransomware FireCrypt non si limita alla cifratura dei file; in effetti, esso tenta ugualmente di lanciare un attacco DDoS, anche se di debole intensità. Il nuovo malware, di tipo ibrido-polimorfico, è stato scoperto dai ricercatori di MalwareHunterTeam, ed è stato poi analizzato da Lawrence Abrams, di BleepingComputer.

Secondo la descrizione fornita su BleepingComputer.com, l’autore di FireCrypt crea file eseguibili unici avvalendosi del “builder” BleedGreen, il quale consente di camuffare gli stessi in veste di documenti DOC o PDF. Una volta lanciato, FireCrypt termina deliberatamente il processo Task Manager e, tramite una chiave AES a 256 bit, codifica 20 diversi tipi di file, aggiungendo ad essi l’estensione .firecrypt. In seguito, la vittima visualizzerà una notifica in cui si richiede il pagamento di un riscatto pari a 500 $ (in bitcoin).

Secondo quanto riferiscono gli esperti, tale messaggio è, di fatto, molto simile alla notifica prodotta da Deadly for a Good Purpose, un ransomware individuato da MalwareHunterTeam nel mese di ottobre dello scorso anno. Inoltre, FireCrypt ha in comune con il proprio predecessore lo stesso indirizzo e-mail di contatto, e lo stesso identico wallet Bitcoin, indicati dai cybercriminali. Non è affatto escluso che FireCrypt sia semplicemente una versione di Deadly for a Good Purpose, distribuita sotto un nuovo nome.

Il principale tratto distintivo del nuovo arrivato, rispetto agli altri cryptoblocker attualmente in circolazione, è rappresentato dalla suddetta funzionalità DDoS aggiuntiva. Dopo aver richiesto il pagamento del riscatto, FireCrypt si connette continuamente ad un URL hardcoded nel proprio codice, ed inizia a scaricare determinati contenuti, salvando poi gli stessi in un file temporaneo. Secondo Bleeping Computer, l’attuale versione di FireCrypt richiede l’URL <pta.gov.pk>, il quale corrisponde al portale ufficiale dell’autorità pakistana per la vigilanza nel settore delle telecomunicazioni. Se la vittima non si accorge di tale attività, il malware riempie rapidamente la cartella %Temp% di file “spazzatura” provenienti dal sito in questione; le continue connessioni con quest’ultimo possono essere classificate, a tutti gli effetti, come un attacco DDoS a bassa intensità.

“Un malintenzionato dovrebbe necessariamente infettare migliaia di vittime, per poter condurre un attacco DDoS abbastanza potente, in grado di creare problemi al sito web del suddetto ente governativo, – scrive il reporter di BleepingComputer. – Inoltre, tutte le infezioni dovrebbero verificarsi contemporaneamente, e i computer delle vittime dovrebbero risultare collegati ad Internet, per avere la possibilità di prendere parte a tale attacco DDoS”.

Abrams ritiene che l’autore di FireCrypt abbia dotato la propria”creatura” di un componente DDoS in qualità di semplice esperimento, e che tale “innovazione” possa difficilmente suscitare l’interesse di altri malfattori. “Un attacco DDoS correttamente eseguito, con utilizzo di malware, richiede persistenza e segretezza, – commenta l’esperto. – Questo è chiaramente incompatibile con le specifiche peculiarità di una campagna ransomware di successo, la quale comporta una fase di avvio e una fase di arresto, il mostrare alla potenziale vittima la richiesta di riscatto, e l’attesa dell’auspicato pagamento. Solo alcuni programmi “estorsori” evidenziano una certa persistenza, al di là di quel che riguarda la visualizzazione, da parte della vittima, della richiesta di riscatto”.

L’elevata probabilità di rilevamento delle attività del componente DDoS da parte di uno scanner anti-virus, secondo Abrams, riduce ugualmente le chance, per FireCrypt, di avere successo nella sfera degli attacchi DDoS. “Le operazioni di codifica effettuate sul computer preso di mira indurranno la vittima a lanciare la scansione su quest’ultimo, in cerca del malware, ed il componente DDoS persistente verrà in tal modo rilevato, – precisa Abrams. – Non credo che si tratti di un metodo appropriato per la conduzione di attacchi che richiedono una presenza permanente nel sistema”.

Threatpost

FireCrypt, il ransomware con funzionalità DDoS

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *

 

Report

Evoluzione dei malware mobile – 2016

Ha continuato a crescere in maniera davvero sensibile, nel corso del 2016, il numero dei Trojan pubblicitari in grado di utilizzare i diritti di superutente. Si è trattato, lungo tutto l’arco dell’anno, della minaccia informatica numero 1; al momento attuale non scorgiamo, peraltro, validi motivi ed argomenti che lascino intravedere qualche cambiamento riguardo a tale specifica tendenza.

Lo spam nell’anno 2016

Nel 2016, all’interno dei flussi di spam, si sono verificati diversi cambiamenti; tra di essi, quello più significativo riguarda il sensibile aumento del numero di mailing di massa preposte alla distribuzione dei temibili programmi ransomware. Considerando l’effettiva disponibilità, sul mercato nero, di simili software nocivi, è presumibile che tale tendenza continui a manifestarsi anche nell’anno in corso.

Kaspersky Security Bulletin 2016. Rassegna annuale. Le statistiche dell’anno 2016

Il 2016 è stato, nell’ambito della cyber sicurezza, un anno davvero intenso e turbolento, caratterizzato da imponenti botnet IoT, ransomware, attacchi mirati di cyber spionaggio, ingenti furti nella sfera finanziaria, “hacktivismo” e molto altro ancora. Il Kaspersky Security Bulletin 2016 e il report Statistics di Kaspersky Lab forniscono un quadro dettagliato della situazione; qui, invece, si può leggere l’Executive Summary.

Kaspersky Security Bulletin 2016. La rivoluzione del ransomware

Tra gennaio e settembre 2016 gli attacchi ransomware diretti alle imprese sono aumentati di tre volte, fino all’equivalente di un attacco ogni 40 secondi. Con il boom del ransomware-as-a-service, ed il lancio del progetto NoMoreRansom, Kaspersky Lab ha definito il ransomware come il proprio “tema chiave” per il 2016.

Iscriviti alle nostre e-mail settimanali

La ricerca più all'avanguardia, direttamente nella tua inbox