News

Gli autori di CryptXXX “bypassano” il decryptor

La reazione – da parte dei virus writer che hanno creato il temibile CryptXXX – alla comparsa del relativo decryptor, non si è fatta attendere: come riporta Softpedia nel proprio sito web, sulla base di quanto dichiarato da Proofpoint, i cybercriminali in questione hanno rapidamente rilasciato un aggiornamento, il quale consente, in pratica, di eludere l’azione protettiva svolta dall’apposito strumento di decodifica, adibito al ripristino dei file cifrati. Il suddetto ransomware, inoltre, ha iniziato a bloccare lo schermo, privando in tal modo la vittima della possibilità di accedere non solo ai file criptati, bensì all’intero sistema. Di conseguenza, adesso, il computer infetto non può essere nemmeno utilizzato per effettuare il pagamento del riscatto richiesto dai malintenzionati.

Il blocker crittografico denominato CryptXXX è stato scoperto da Proofpoint verso la metà dello scorso mese di aprile. Allora, nello schema utilizzato per distribuire tale malware, risultava coinvolto, a tutti gli effetti, l’exploit kit Angler, attraverso il quale veniva recapitato, sulla macchina infetta, Bedep, il downloader che poi provvedeva a caricare sul computer-vittima il cryptoblocker e Dridex. L’analisi condotta dagli esperti ha evidenziato che, oltre a mettere in atto le funzionalità tipiche dei cryptoblocker, il nuovo arrivato è ugualmente in grado di sottrarre dati dai client di posta, IM e FTP, così come dal browser. I ricercatori hanno anche rilevato elementi di somiglianza, da parte di CryptXXX, con il famigerato “virus-poliziotto” Reveton, e suppongono che dietro entrambi i malware si celi lo stesso identico gruppo criminale.

Dopo aver rilasciato la prima versione di CryptXXX, i malintenzionati hanno subito iniziato a modificare e perfezionare il blocker da essi creato. “Abbiamo rilevato numerose volte i risultati dell’evoluzione compiuta da tale malware, dal momento della sua comparsa; i cambiamenti apportati dai virus writer, tuttavia, risultavano talmente trascurabili al punto da non meritare specifiche menzioni o approfondimenti, – ha osservato il team di Proofpoint. – Come era lecito attendersi, il numero dei malfattori intenti alla diffusione di CryptXXX è sensibilmente aumentato… In queste ultime settimane, in effetti, nell’arena globale del “drive-by”, si assiste all’evidente migrazione di alcuni dei principali attori della scena del malware da Teslacrypt/Locky a CryptXXX/Cerber”.

In risposta alla nuova minaccia IT manifestatasi, gli esperti di Kaspersky Lab avevano prontamente rilasciato un toolkit di decodifica, il quale permetteva di ripristinare, in forma gratuita, i file in precedenza cifrati da CryptXXX. Purtroppo, con l’avvento della versione 2.006 del ransomware, tale strumento dovrà essere necessariamente modificato e ristrutturato: in effetti, nei confronti dell’ultima versione del blocker, il decryptor in questione si rivela ormai inutile. Lo strumento di decodifica attuale necessita della copia originale (non cifrata) di almeno uno dei file criptati, ed in tal modo esso è in grado di ripristinare tutti i file aventi la stessa identica dimensione, o dimensioni inferiori. A quanto pare, tale limitazione sembra aver suggerito ai malintenzionati il metodo di elusione da essi adottato. Le analisi condotte da Proofpoint su CryptXXX 2.006 hanno dimostrato che tale versione del malware, molto probabilmente, utilizza la libreria di compressione zlib 1.2.2. I ricercatori ritengono che sia proprio tale “miglioramento” ad ostacolare in maniera decisiva il funzionamento del decryptor, il quale, adesso, una volta avviato, restituisce regolarmente il seguente messaggio di errore: “La dimensione del file criptato non è uguale a quella del file originale”.

Il nuovo CryptXXX, inoltre, fa in modo che l’utente-vittima visualizzi, a tutto schermo, una sorta di “screensaver”, attraverso il quale il malware crittografico rivela la propria presenza; tale schermata, di fatto, blocca in maniera efficace il desktop (ricordiamo che i blocker della generazione precedente, ed in particolar modo Reveton, agivano nello stesso identico modo). È piuttosto curioso osservare come nel messaggio in lingua inglese sia stato inserito un link a Google Translate (il traduttore automatico di Google), che si raccomanda di utilizzare nel caso in cui la vittima parli una lingua diversa. Gli esperti di Proofpoint riferiscono, nello specifico, che questo link, così come tutti gli altri, collocati sul wallpaper, risulta inattivo: d’altra parte, anche se lo volesse, la vittima non potrebbe in alcun modo utilizzarlo attraverso il computer sottoposto ad attacco.

I ricercatori non hanno potuto verificare se, una volta effettuato il pagamento del riscatto, il blocco applicato allo schermo del computer venga poi effettivamente rimosso. Tuttavia, sulla base dell’esperienza derivante dalla conoscenza di Reveton, essi hanno avanzato l’ipotesi che, in ransomware provvisti di simili caratteristiche, debba essere presente, in linea di principio, una specifica funzione in base alla quale il computer infetto dovrebbe comunque connettersi periodicamente con il C&C, e verificare, quindi, lo stato del pagamento.

È stato inoltre rilevato come abbiano cambiato il loro nome i file contenenti il testo relativo alla richiesta di pagamento del riscatto, file creati da CryptXXX all’interno delle cartelle che custodiscono i dati cifrati dal malware. Si trattava, in precedenza, di file denominati “de_crypt_readme”, e provvisti di estensione .bmp, .txt o .html; la versione 2 del cryptoblocker utilizza invece, in qualità di nome, un ID personalizzato, assegnato alla vittima in base ai dati presenti nel computer preso di mira.

È stata ugualmente notata una lieve modifica sulla pagina riservata alle istruzioni necessarie per l’effettuazione del pagamento: i malintenzionati, adesso, chiamano il proprio strumento di decodifica con il nome di Google Decrypter, anziché Cryptowall Decrypter, come avveniva in precedenza.

Il metodo di cui fanno uso i malfattori per diffondere CryptXXX 2.006 è rimasto lo stesso: gli estorsori preferiscono utilizzare, tuttora, i banner pubblicitari malevoli, in qualità di redirector verso il famigerato exploit pack Angler; quest’ultimo provvede a recapitare direttamente il blocker alla vittima, tramite l’apposito exploit, oppure ricorre all’impiego del downloader Bedep, che, nella circostanza, agisce in qualità di malware intermediario.

Fonte: Softpedia

Gli autori di CryptXXX “bypassano” il decryptor

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *

 

Report

Evoluzione dei malware mobile – 2016

Ha continuato a crescere in maniera davvero sensibile, nel corso del 2016, il numero dei Trojan pubblicitari in grado di utilizzare i diritti di superutente. Si è trattato, lungo tutto l’arco dell’anno, della minaccia informatica numero 1; al momento attuale non scorgiamo, peraltro, validi motivi ed argomenti che lascino intravedere qualche cambiamento riguardo a tale specifica tendenza.

Lo spam nell’anno 2016

Nel 2016, all’interno dei flussi di spam, si sono verificati diversi cambiamenti; tra di essi, quello più significativo riguarda il sensibile aumento del numero di mailing di massa preposte alla distribuzione dei temibili programmi ransomware. Considerando l’effettiva disponibilità, sul mercato nero, di simili software nocivi, è presumibile che tale tendenza continui a manifestarsi anche nell’anno in corso.

Kaspersky Security Bulletin 2016. Rassegna annuale. Le statistiche dell’anno 2016

Il 2016 è stato, nell’ambito della cyber sicurezza, un anno davvero intenso e turbolento, caratterizzato da imponenti botnet IoT, ransomware, attacchi mirati di cyber spionaggio, ingenti furti nella sfera finanziaria, “hacktivismo” e molto altro ancora. Il Kaspersky Security Bulletin 2016 e il report Statistics di Kaspersky Lab forniscono un quadro dettagliato della situazione; qui, invece, si può leggere l’Executive Summary.

Kaspersky Security Bulletin 2016. La rivoluzione del ransomware

Tra gennaio e settembre 2016 gli attacchi ransomware diretti alle imprese sono aumentati di tre volte, fino all’equivalente di un attacco ogni 40 secondi. Con il boom del ransomware-as-a-service, ed il lancio del progetto NoMoreRansom, Kaspersky Lab ha definito il ransomware come il proprio “tema chiave” per il 2016.

Iscriviti alle nostre e-mail settimanali

La ricerca più all'avanguardia, direttamente nella tua inbox