Spora, il ransomware al servizio dei “clienti”

All’inizio dell’anno in corso, i ricercatori hanno scoperto il nuovo ransomware Spora, il quale, originariamente, attaccava solo gli utenti di lingua russa, ed ha poi cominciato a diffondersi in numerosi paesi. Fin dagli inizi, il “pezzo forte” del malware in questione si è rivelato essere il portale utilizzato per il pagamento del riscatto, uno strumento di elevata qualità, realizzato in maniera particolarmente accurata. Al momento attuale, gli autori di Spora si presentano come uno degli “operatori” più “professionali” e maggiormente all’avanguardia nel torbido panorama delle campagne ransomware: in effetti, essi investono nello sviluppo di un servizio di supporto tecnico indubbiamente qualificato e, al contempo, si dimostrano pienamente impegnati nell’intrattenere, con le proprie vittime, una sorta di “pubbliche relazioni”, con il preciso intento di consolidare in ogni modo la propria fama di estorsori particolarmente “client-oriented”.

Una delle “fiches” di maggior “pregio” del ransomware Spora, davvero unica, è senza dubbio rappresentata dall’apposita finestra di chat riservata al supporto “clienti”, attraverso la quale le vittime hanno la possibilità di comunicare in tempo reale direttamente con i cybercriminali ricattatori. I ricercatori sono riusciti ad ottenere l’accesso alle pagine riservate ad alcuni degli utenti-vittima ed hanno così potuto monitorare le comunicazioni avute da questi ultimi con i malfattori.

L’assistenza tecnica viene effettuata sia in lingua russa, sia in lingua inglese. Gli “operatori” evidenziano indubbie capacità comunicative, cercano di non far degenerare certe situazioni critiche che si possono presentare chattando con “clienti” decisamente arrabbiati, se non furibondi, e forniscono sempre risposte tempestive e “professionali” alle domande poste.

I ricercatori sono inoltre rimasti particolarmente colpiti dal fatto che gli estorsori dimostrano “lealtà e correttezza” nei confronti delle proprie vittime, e, tra l’altro, si rivelano inclini a a prolungare, oppure addirittura ad annullare il termine ultimo previsto per il pagamento del riscatto, in favore di tutti coloro che lasciano dei feedback positivi, riguardo al lavoro svolto dagli operatori della campagna ransomware, sul forum di BleepingComputer (per il momento, tuttavia, nessun utente-vittima si è ancora fatto avanti, per cercare di beneficiare di tutta questa “generosità”). Allo stesso modo, i malintenzionati offrono “sconti” e la decodifica gratuita di file particolarmente importanti.

Il ricorso ai feedback positivi costituisce di sicuro una mossa piuttosto sapiente, a livello di marketing, visto che essa sfrutta proprio il concetto di fiducia da parte del “cliente”. Naturalmente, recensioni del genere potrebbero convincere le altre vittime del ransomware riguardo al fatto che, se queste ultime provvedono al pagamento del riscatto richiesto, può essere certamente ottenuta la decodifica dei file compromessi. Come è noto, si sono già verificati numerosi casi in cui, persino dopo aver effettuato il pagamento, le vittime non hanno potuto decifrare i file in precedenza criptati; una simile situazione, ovviamente, causa evidenti danni alla “reputazione” stessa del concetto di attacco ransomware, visto che il successo di tale assalto informatico dipende, in primo luogo, proprio dalla convinzione, da parte delle vittime, che il pagamento del riscatto potrà comunque risolvere il loro problema.

Vi è, poi, un ulteriore atto di “gentilezza”, o se vogliamo “riverenza”, nei confronti delle vittime; si tratta di un servizio aggiuntivo fornito dagli operatori di Spora: pagando una determinata cifra (nell’ordine dei 50 dollari $) risulta possibile acquistare una sorta di “immunità”, in pratica una vera e propria protezione contro eventuali successive infezioni provocate dal malware in causa. L’installer utilizzato per tale singolare opzione crea, in pratica, un file con lo stesso nome di quello generato nel momento in cui si manifesta la prima infezione prodotta da Spora. Così, una volta installato il tool in questione, se il computer dell’utente viene nuovamente infettato da Spora, il ransomware individuerà l’apposito file con funzione di identificatore, deducendo, quindi, che esso non dovrà insediarsi ancora una volta su tale macchina.

Secondo i dati raccolti da MalwareHunter, inoltre, si è persino verificato un caso in cui gli sviluppatori di Spora hanno offerto uno sconto del 10% per la decodifica dei file appartenenti ad una società che si era vista infettare, da parte di Spora, oltre 200 dispositivi. I ricercatori sostengono che il cosiddetto supporto clienti di Spora sia addirittura organizzato meglio di quello abitualmente fornito da molte società attive nel settore IT.

Il numero delle infezioni generate da Spora sta progressivamente crescendo; nonostante l’entità di tale diffusione non abbia ancora raggiunto gli elevati indici riscontrati, ad esempio, riguardo ai noti malware crittografici Cerber e Locky, il ransomware Spora sembra avere tutte le carte in regola per poter conseguire un simile “successo”. Non è stato ancora sviluppato, al momento, il decryptor in grado di neutralizzare Spora.

Fonte: Threatpost

Post correlati

Lascia un commento

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *