News

Smantellata la campagna ransomware WildFire

L’iniziativa No More Ransom ha rilasciato, la scorsa settimana, le chiavi di decodifica per un’altra “specie” di ransomware; adesso, le vittime del temibile programma ransomware denominato WildFire, orientato prevalentemente agli utenti olandesi, possono recuperare i loro file senza dover pagare il consueto riscatto richiesto dagli attacker.

Secondo un aggiornamento pubblicato mercoledì scorso dalla Nationale Politie, la polizia olandese, durante le operazioni di smantellamento del server di comando e controllo responsabile delle attività malevole di WildFire, le forze dell’ordine dei Paesi Bassi sono state in grado di sequestrare ben 5.800 chiavi di decodifica, tra cui circa 3.000 chiavi destinate alle infezioni realizzate a danno degli utenti olandesi, e 2.100 chiavi predisposte per le infezioni ransomware generate in Belgio.

Il malware WildFire, così come la maggior parte dei programmi ransomware, viene diffuso attraverso e-mail di spam nocivo; la differenza tra tale software dannoso e le altre “specie” di ransomware attualmente in circolazione consiste principalmente nel fatto che le e-mail in questione risultano scritte in “perfetto olandese”, afferma Jornt van der Wiel, ricercatore operante nel campo della sicurezza IT, membro del Global Research and Analysis Team di Kaspersky Lab.

Il ransomware WildFire, di fatto, al pari di GNLocker e Zyklon – malware similari – ha preso di mira soprattutto gli utenti ubicati in Olanda e in Belgio. Gli attacker che si celano dietro WildFire si avvalgono di un dominio olandese fasullo; essi, inoltre, sono soliti inserire nelle e-mail malevole il reale indirizzo della società target: si tratta, nella fattispecie, di qualcosa che viene fatto di rado, ma, in tal modo, aumentano considerevolmente le probabilità che qualcuno possa aprire il messaggio nocivo, sostiene Jornt van der Wiel.

Le e-mail sembrano provenire, in apparenza, da una società di trasporti, che sta tentando di consegnare un pacco. Nella circostanza, si cerca di indurre la vittima a fissare una nuova data di consegna, tramite la compilazione di un apposito documento. I documenti cui fanno riferimento i malfattori risultano collocati su un dominio olandese alquanto sospetto; questi file, ovviamente, sono imbottiti di macro, che, una volta attivate, generano il download e l’esecuzione del ransomware.

WildFire provvede a criptare i file degli utenti-vittima mediante l’utilizzo dell’algoritmo crittografico AES, in modalità CBC; nella maggior parte dei casi, per poter procedere alle eventuali operazioni di decodifica, il ransomware richiede il pagamento di un riscatto pari a 299 Euro. Tuttavia, se l’utente preso di mira attende troppo a lungo, dopo otto giorni, in genere, il prezzo lievita, e sale a ben 999 Euro.

image012 13.38.33

Operando a fianco della polizia nazionale olandese, Jornt van der Wiel ha potuto analizzare il codice appartenente al pannello di controllo della botnet riconducibile al ransomware qui esaminato; nella circostanza, il ricercatore ha potuto determinare che WildFire non infetta i computer situati in Russia, Ucraina, Bielorussia, Lettonia, Estonia, o Moldavia, verosimilmente nel tentativo di non attirare l’attenzione delle autorità locali di tali paesi.

Ad ogni caso, pur non bersagliando gli utenti ubicati nelle aree geografiche qui sopra elencate, il ransomware ha mietuto lo stesso considerevoli successi; nell’arco di un mese, in effetti, si sono verificate oltre 5.700 infezioni. Sul numero totale di infezioni registratesi, 236 utenti hanno complessivamente pagato, all’incirca, 78.700 dollari USD, un importo equivalente, più o meno, a 70.000 Euro. Se gli attaccanti fossero riusciti a proseguire la conduzione della campagna malevola, ogni mese essi avrebbero potuto ricavare, in totale, circa 80.000 dollari USD.

In media, nel corso di queste ultime settimane, il ransomware ha preso di mira, nel 50% dei casi, singoli utenti ubicati in Olanda, mentre il 36% dei rimanenti episodi di infezione ha interessato cittadini residenti in Belgio. D’ora in poi, le vittime infettate dal ransomware saranno redirette verso il sito web NoMoreRansom.org, dove riceveranno dettagliate istruzioni sulle procedure da seguire per avviare la decodifica dei propri file.

L’iniziativa No More Ransom è stata lanciata nel mese scorso, nella speranza di istruire in maniera adeguata ed efficace i consumatori riguardo agli effettivi pericoli generati dal ransomware. Il progetto, sostenuto congiuntamente da Europol, dalla Nationale Politie dei Paesi Bassi, da Intel Security e Kaspersky Lab, è già divenuto un’importante destinazione per quel che riguarda l’ottenimento delle chiavi di decodifica relative non solo a WildFire, ma anche ad altri minacciosi programmi ransomware, quali Chimera, Teslacrypt, Shade, e ad un’altra temibile variante di cryptoblocker che ha preso di mira gli utenti situati in Olanda, ovvero CoinVault.

È ormai trascorso quasi un anno da quando la National High Tech Crime Unit (NHTCU) olandese aveva sollecitato l’appoggio dei ricercatori di Kaspersky Lab, arrestando poi due persone residenti nei Paesi Bassi, accusate di tenere le fila della campagna CoinVault. Come nel caso di WildFire, anche gli attacker che si nascondevano dietro CoinVault sfoggiavano una conoscenza assolutamente impeccabile della lingua olandese, segno, questo, più che rivelatore del fatto che ci trovavamo di fronte, a tutti gli effetti, ad una “connection” olandese.

“Il sequestro delle chiavi di decriptazione di WildFire dimostra, ancora una volta, come la lotta nei confronti del cybercrimine, ed in special modo contro il ransomware, risulti di maggior successo se condotta attraverso specifiche e fattive collaborazioni,” ha dichiarato mercoledì scorso John Fokker, Digital Team Coordinator della National High Tech Crime Unit olandese, “La polizia olandese si adopererà per aiutare al massimo le vittime del ransomware, investigando sui casi di infezione che si registrano, smantellando le infrastrutture cybercriminali e distribuendo le relative chiavi di decodifica”.

Fonte: Threatpost

Smantellata la campagna ransomware WildFire

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *

 

Report

Evoluzione dei malware mobile – 2016

Ha continuato a crescere in maniera davvero sensibile, nel corso del 2016, il numero dei Trojan pubblicitari in grado di utilizzare i diritti di superutente. Si è trattato, lungo tutto l’arco dell’anno, della minaccia informatica numero 1; al momento attuale non scorgiamo, peraltro, validi motivi ed argomenti che lascino intravedere qualche cambiamento riguardo a tale specifica tendenza.

Lo spam nell’anno 2016

Nel 2016, all’interno dei flussi di spam, si sono verificati diversi cambiamenti; tra di essi, quello più significativo riguarda il sensibile aumento del numero di mailing di massa preposte alla distribuzione dei temibili programmi ransomware. Considerando l’effettiva disponibilità, sul mercato nero, di simili software nocivi, è presumibile che tale tendenza continui a manifestarsi anche nell’anno in corso.

Kaspersky Security Bulletin 2016. Rassegna annuale. Le statistiche dell’anno 2016

Il 2016 è stato, nell’ambito della cyber sicurezza, un anno davvero intenso e turbolento, caratterizzato da imponenti botnet IoT, ransomware, attacchi mirati di cyber spionaggio, ingenti furti nella sfera finanziaria, “hacktivismo” e molto altro ancora. Il Kaspersky Security Bulletin 2016 e il report Statistics di Kaspersky Lab forniscono un quadro dettagliato della situazione; qui, invece, si può leggere l’Executive Summary.

Kaspersky Security Bulletin 2016. La rivoluzione del ransomware

Tra gennaio e settembre 2016 gli attacchi ransomware diretti alle imprese sono aumentati di tre volte, fino all’equivalente di un attacco ogni 40 secondi. Con il boom del ransomware-as-a-service, ed il lancio del progetto NoMoreRansom, Kaspersky Lab ha definito il ransomware come il proprio “tema chiave” per il 2016.

Iscriviti alle nostre e-mail settimanali

La ricerca più all'avanguardia, direttamente nella tua inbox