News

Il nuovo Cryptowall codifica i nomi dei file e si prende gioco delle proprie vittime

Gli autori del temibile malware crittografico denominato Cryptowall hanno aggiunto alla propria “creatura” alcuni tratti peculiari che, di sicuro, complicheranno ulteriormente la vita sia agli analisti di virus, sia a coloro che cercano di recuperare i file criptati senza dover pagare il riscatto.

La scorsa settimana, i ricercatori di Bleeping Computer hanno individuato una nuova variante di Cryptowall, in grado di cifrare non soltanto i file dell’utente-vittima, ma anche i nomi degli stessi. “Questo riduce considerevolmente la possibilità di recuperare i file; è decisamente più facile pagare il riscatto, – ha riconosciuto Nathan Scott, ricercatore indipendente, autore dell’analisi assieme agli esperti di Bleeping Computer. – Al momento di ripristinare i dati, durante l’analisi forense condotta, i file sono apparsi con nomi strani; non vi è quindi alcuna possibilità, per l’utente, di poterli in qualche modo riconoscere. Allo stesso modo, è divenuto in pratica impossibile comprendere la struttura stessa dei file”.

“L’unico modo per recuperare i dati è quello di poter disporre di un backup completo degli stessi; se non si hanno copie di backup, occorre procedere al pagamento del riscatto”, – ha concluso l’esperto.

Gli “operatori” del blocker hanno ugualmente aggiornato il testo del messaggio indirizzato alla vittima, attraverso il quale viene richiesto il pagamento di una determinata somma di denaro. I cybercriminali, innanzitutto, con una certa dose di cinismo, si complimentano con l’utente per il fatto di essere entrato a far parte della “grande community di Cryptowall”, spiegando che il progetto sarebbe stato lanciato allo scopo di migliorare le conoscenze nella sfera della sicurezza informatica, e per certificare l’efficacia dei prodotti antivirus. I malintenzionati, inoltre, hanno appositamente creato l’hashtag #CryptowallProject, per far sì che le vittime del ransomware possano condividere con altri utenti, sui social network, le loro disavventure; un elevato numero di “lamentele”, secondo Nathan Scott, rappresenterebbe un vantaggio per gli operatori del malware, in quanto le vittime, in tal modo, sarebbero più facilmente indotte a pagare.

cryptowall_news

A livello di redditività, Cryptowall supera di gran lunga tutti i propri “confratelli”. Secondo un report stilato di recente dall’associazione di settore Cyber Threat Alliance (CTA), l’apparizione sulla scena della versione Cryptowall 3.0 è già costata alle vittime, complessivamente, ben 325 milioni di dollari. Non è ancora chiaro, per il momento, se la scoperta di Bleeping Computer rappresenti, di fatto, una nuova versione del crypto-ransomware (4.0), come suppongono i ricercatori, oppure si tratti, semplicemente, di una release tecnica.

Il nuovo Cryptowall viene distribuito, così come i suoi predecessori, attraverso allegati malevoli inseriti nei messaggi di posta elettronica, camuffati sotto forma di documenti Word (fattura o curriculum vitae). In realtà, tali file contengono un JavaScript eseguibile, preposto a generare il download del ransomware in causa.

La nuova variante del cryptoblocker è ugualmente in grado di sopprimere tutti i punti di ripristino. “A volte, la vittima del tentativo di cyber-estorsione è fortunata, in quanto il malware non elimina gli eventuali punti di ripristino, oppure perché l’attacco non riesce, e risulta quindi possibile ricondurre il sistema ad una data anteriore all’infezione, ripristinando così lo stato precedente, – ha asserito Scott. – Con la versione 4.0 un simile scenario non si rivela più possibile”.

Per quel che è noto, una volta effettuato il pagamento del riscatto, gli “operatori” di Cryptowall inviano quasi sempre la chiave occorrente per la decodifica dei file in precedenza cifrati; la stessa cosa, invece, non si verifica molto di frequente nel caso dei malware “concorrenti”. “Questi malfattori conducono la propria attività come dei veri e propri businessmen, e il loro modello sembra davvero funzionare, – ha dichiarato Nathan Scott. – Essi hanno perfettamente capito che, se intendessero raggirare subdolamente tutti quanti, o perlomeno un gran numero di utenti, nessuno vorrebbe più pagare; per tale motivo, i cybercriminali in questione hanno adottato una precisa regola, ovvero quella di ripristinare l’accesso ai file per (quasi) tutti coloro che provvedono al pagamento del riscatto”.

La stessa FBI ha di recente consigliato, alle vittime di simili cyber-estorsioni, di pagare la somma di denaro richiesta, soprattutto nel caso in cui si tratti di un’infezione provocata dal famigerato Cryptowall. La stima fornita dall’FBI, riguardo ai danni causati dall’attività di tale programma malware, è tuttavia molto più contenuta, rispetto all’analoga valutazione effettuata dal gruppo CTA, visto che la stessa si attesta su un valore pari a 18 milioni di dollari.

Fonte: Threatpost

Il nuovo Cryptowall codifica i nomi dei file e si prende gioco delle proprie vittime

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *

 

Report

Evoluzione dei malware mobile – 2016

Ha continuato a crescere in maniera davvero sensibile, nel corso del 2016, il numero dei Trojan pubblicitari in grado di utilizzare i diritti di superutente. Si è trattato, lungo tutto l’arco dell’anno, della minaccia informatica numero 1; al momento attuale non scorgiamo, peraltro, validi motivi ed argomenti che lascino intravedere qualche cambiamento riguardo a tale specifica tendenza.

Lo spam nell’anno 2016

Nel 2016, all’interno dei flussi di spam, si sono verificati diversi cambiamenti; tra di essi, quello più significativo riguarda il sensibile aumento del numero di mailing di massa preposte alla distribuzione dei temibili programmi ransomware. Considerando l’effettiva disponibilità, sul mercato nero, di simili software nocivi, è presumibile che tale tendenza continui a manifestarsi anche nell’anno in corso.

Kaspersky Security Bulletin 2016. Rassegna annuale. Le statistiche dell’anno 2016

Il 2016 è stato, nell’ambito della cyber sicurezza, un anno davvero intenso e turbolento, caratterizzato da imponenti botnet IoT, ransomware, attacchi mirati di cyber spionaggio, ingenti furti nella sfera finanziaria, “hacktivismo” e molto altro ancora. Il Kaspersky Security Bulletin 2016 e il report Statistics di Kaspersky Lab forniscono un quadro dettagliato della situazione; qui, invece, si può leggere l’Executive Summary.

Kaspersky Security Bulletin 2016. La rivoluzione del ransomware

Tra gennaio e settembre 2016 gli attacchi ransomware diretti alle imprese sono aumentati di tre volte, fino all’equivalente di un attacco ogni 40 secondi. Con il boom del ransomware-as-a-service, ed il lancio del progetto NoMoreRansom, Kaspersky Lab ha definito il ransomware come il proprio “tema chiave” per il 2016.

Iscriviti alle nostre e-mail settimanali

La ricerca più all'avanguardia, direttamente nella tua inbox