Le utility di decodifica sono ora in grado di ripristinare i file cifrati da tutte le versioni del ransomware TeslaCrypt

Circa un mese fa, è stata resa pubblicamente accessibile la master key per TeslaCrypt; questo ha inevitabilmente posto fine al progetto ransomware in questione, rivelatosi, tuttavia, piuttosto ben riuscito. Nelle settimane successive, sono stati quindi creati vari decryptor, in grado di decodificare i file compromessi da TeslaCrypt. Kaspersky Lab, ad esempio, ha aggiornato la propria utility Rakhni, aggiungendo ad essa il decryptor per le versioni 3 e 4 del malware Bitman (TeslaCrypt). Un aggiornamento analogo è stato poi effettuato la scorsa settimana da Cisco; il tool sviluppato dalla società statunitense risulta applicabile, adesso, a tutte le versioni del famigerato cryptoblocker, del quale – ricordiamo – sono state complessivamente rilasciate quattro varianti.

Secondo Earl Carter, Security Research Engineer presso Cisco Talos, la master key, pubblicata lo scorso 19 maggio, è stata utilizzata per ripristinare i file codificati dalle versioni 3 e 4 di TeslaCrypt. “Non siamo sicuri del fatto che [la master key] possa comunque funzionare con le versioni precedenti, – afferma il ricercatore. – La versione 2 si era rivelata difettosa, ed era stata così neutralizzata; inoltre, disponevamo già del decryptor per la versione originale. Tutti i vari decryptor esistenti presupponevano che l’utente dovesse determinare, egli stesso, la versione del malware dalla quale era stato infettato, per poi scegliere il tool di decodifica occorrente. Abbiamo quindi provveduto ad aggiornare il tool originale, in maniera tale da poter abbracciare tutte le possibili versioni”.

Il motivo per il quale gli “operatori” di TeslaCrypt hanno deciso di chiudere il proprio progetto rimane, tuttora, un mistero. Gli attacchi ransomware nei confronti delle imprese e degli utenti privati non accennano di certo a placarsi; soltanto nel primo trimestre dell’anno in corso, secondo le stime rese note dall’FBI, i malfattori hanno complessivamente raccolto, sotto forma di riscatto, oltre 200 milioni di dollari USD; si prevede che, entro la fine dell’anno, il volume di tale “business” cybercriminale possa addirittura salire sino ad un miliardo di dollari. TeslaCrypt, ad ogni caso, pur in veste di autorevole partecipante a tale schema di profitto illecito, non si è dimostrato privo di mancanze e difetti; questo ha permesso ai ricercatori di poter individuare, fin quasi dagli inizi, le chiavi di decodifica nascoste all’interno del codice malevolo, e di sviluppare, quindi, apposite utility in soccorso delle vittime dell’infezione.

È quindi cominciato il classico gioco “del gatto e del topo”: i malintenzionati hanno inasprito le tecniche di cifratura da essi utilizzate per le proprie “creature”, mentre i ricercatori hanno scavato sempre più a fondo, per trovare in ogni circostanza il giusto antidoto. “Alcuni di essi ricorrono alla crittografia simmetrica; in questo caso si può reperire la chiave “sul posto”, e decriptare così i file, – riferisce Carter. – Altri, invece, si avvalgono dell’infrastruttura PKI; diviene pertanto molto più difficile poter ripristinare i file, poiché, in primo luogo, la chiave non viene custodita sulla macchina infetta”.

Non appena viene realizzato il decryptor per una delle varianti, anche gli altri ricercatori iniziano ad intensificare gli sforzi in tale direzione. È del tutto plausibile che il motivo della repentina interruzione delle operazioni TeslaCrypt risieda proprio in questo.

“Il ransomware è un business molto redditizio, ed ogni attore cerca di accaparrarsi la propria fetta di torta, – rileva Carter. – Visto che tutte le versioni [di TeslaCrypt], alla fine, sono state neutralizzate, si ha l’impressione che le stesse non fossero poi così “redditizie” come invece si aspettavano i loro “padroni”. Naturalmente, è difficile poter giudicare tale elemento; non abbiamo, difatti, prove specifiche in merito. Ad una prima analisi, tuttavia, pare proprio che le cose stiano così. L’allestimento del software malevolo, indubbiamente, ha avuto buon esito; i profitti illeciti realizzati, però, non hanno evidentemente soddisfatto le aspettative, ed i malintenzionati, infine, hanno lasciato perdere tale progetto”.

La chiave primaria di TeslaCrypt è stata resa di pubblico dominio proprio sul forum del sito dedicato al supporto tecnico per il ransomware in questione; ciò è avvenuto dopo che un ricercatore di ESET ha rilevato chiari segnali riguardo al fatto che le operazioni malevole sarebbero state gradualmente abbandonate, ed ha quindi richiesto la chiave agli stessi sviluppatori del malware. Il successore di TeslaCrypt potrebbe essere CryptXXX; si tratta di un temibile ransomware che, secondo gli esperti di BleepingComputer, viene già distribuito attraverso noti exploit pack. Alcune società operanti nel settore della sicurezza IT, tra cui Kaspersky Lab, stanno osservando attentamente lo sviluppo di CryptXXX, ed hanno già creato appositi decryptor per le prime versioni del nuovo ransomware.

Il sistema di cifratura implementato in TeslaCrypt veniva ad ogni caso regolarmente aggiornato, affinché i ricercatori non avessero alcuna chance di poter “violare” il ransomware in causa. All’inizio dell’anno corrente, tale malware veniva diffuso tramite appositi redirector inseriti all’interno di centinaia di siti WordPress e Joomla compromessi, preposti a indirizzare gli utenti-vittima verso il famigerato exploit kit Nuclear. Nello scorso mese di aprile, i ricercatori di Endgame avevano individuato due nuovi sample del noto cryptoblocker, armati di ulteriori strumenti di offuscamento ed occultamento, e provvisti, inoltre, di un elenco ancor più lungo di estensioni di file. A quel momento, TeslaCrypt veniva di fatto distribuito attraverso estese campagne di spam nocivo.

“I kit di exploit hanno ormai iniziato a recapitare i programmi ransomware, al posto di keylogger e malware di tipo click-fraud (clicker), – sintetizza Earl Carter. – La combinazione di exploit pack e pubblicità dannose (malvertising) ha considerevolmente facilitato il compito degli attacker nel prendere di mira gli utenti”.

Fonte: Threatpost

Post correlati

Lascia un commento

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *