Smantellata la campagna ransomware WildFire

L’iniziativa No More Ransom ha rilasciato, la scorsa settimana, le chiavi di decodifica per un’altra “specie” di ransomware; adesso, le vittime del temibile programma ransomware denominato WildFire, orientato prevalentemente agli utenti olandesi, possono recuperare i loro file senza dover pagare il consueto riscatto richiesto dagli attacker.

Secondo un aggiornamento pubblicato mercoledì scorso dalla Nationale Politie, la polizia olandese, durante le operazioni di smantellamento del server di comando e controllo responsabile delle attività malevole di WildFire, le forze dell’ordine dei Paesi Bassi sono state in grado di sequestrare ben 5.800 chiavi di decodifica, tra cui circa 3.000 chiavi destinate alle infezioni realizzate a danno degli utenti olandesi, e 2.100 chiavi predisposte per le infezioni ransomware generate in Belgio.

Il malware WildFire, così come la maggior parte dei programmi ransomware, viene diffuso attraverso e-mail di spam nocivo; la differenza tra tale software dannoso e le altre “specie” di ransomware attualmente in circolazione consiste principalmente nel fatto che le e-mail in questione risultano scritte in “perfetto olandese”, afferma Jornt van der Wiel, ricercatore operante nel campo della sicurezza IT, membro del Global Research and Analysis Team di Kaspersky Lab.

Il ransomware WildFire, di fatto, al pari di GNLocker e Zyklon – malware similari – ha preso di mira soprattutto gli utenti ubicati in Olanda e in Belgio. Gli attacker che si celano dietro WildFire si avvalgono di un dominio olandese fasullo; essi, inoltre, sono soliti inserire nelle e-mail malevole il reale indirizzo della società target: si tratta, nella fattispecie, di qualcosa che viene fatto di rado, ma, in tal modo, aumentano considerevolmente le probabilità che qualcuno possa aprire il messaggio nocivo, sostiene Jornt van der Wiel.

Le e-mail sembrano provenire, in apparenza, da una società di trasporti, che sta tentando di consegnare un pacco. Nella circostanza, si cerca di indurre la vittima a fissare una nuova data di consegna, tramite la compilazione di un apposito documento. I documenti cui fanno riferimento i malfattori risultano collocati su un dominio olandese alquanto sospetto; questi file, ovviamente, sono imbottiti di macro, che, una volta attivate, generano il download e l’esecuzione del ransomware.

WildFire provvede a criptare i file degli utenti-vittima mediante l’utilizzo dell’algoritmo crittografico AES, in modalità CBC; nella maggior parte dei casi, per poter procedere alle eventuali operazioni di decodifica, il ransomware richiede il pagamento di un riscatto pari a 299 Euro. Tuttavia, se l’utente preso di mira attende troppo a lungo, dopo otto giorni, in genere, il prezzo lievita, e sale a ben 999 Euro.

image012 13.38.33

Operando a fianco della polizia nazionale olandese, Jornt van der Wiel ha potuto analizzare il codice appartenente al pannello di controllo della botnet riconducibile al ransomware qui esaminato; nella circostanza, il ricercatore ha potuto determinare che WildFire non infetta i computer situati in Russia, Ucraina, Bielorussia, Lettonia, Estonia, o Moldavia, verosimilmente nel tentativo di non attirare l’attenzione delle autorità locali di tali paesi.

Ad ogni caso, pur non bersagliando gli utenti ubicati nelle aree geografiche qui sopra elencate, il ransomware ha mietuto lo stesso considerevoli successi; nell’arco di un mese, in effetti, si sono verificate oltre 5.700 infezioni. Sul numero totale di infezioni registratesi, 236 utenti hanno complessivamente pagato, all’incirca, 78.700 dollari USD, un importo equivalente, più o meno, a 70.000 Euro. Se gli attaccanti fossero riusciti a proseguire la conduzione della campagna malevola, ogni mese essi avrebbero potuto ricavare, in totale, circa 80.000 dollari USD.

In media, nel corso di queste ultime settimane, il ransomware ha preso di mira, nel 50% dei casi, singoli utenti ubicati in Olanda, mentre il 36% dei rimanenti episodi di infezione ha interessato cittadini residenti in Belgio. D’ora in poi, le vittime infettate dal ransomware saranno redirette verso il sito web NoMoreRansom.org, dove riceveranno dettagliate istruzioni sulle procedure da seguire per avviare la decodifica dei propri file.

L’iniziativa No More Ransom è stata lanciata nel mese scorso, nella speranza di istruire in maniera adeguata ed efficace i consumatori riguardo agli effettivi pericoli generati dal ransomware. Il progetto, sostenuto congiuntamente da Europol, dalla Nationale Politie dei Paesi Bassi, da Intel Security e Kaspersky Lab, è già divenuto un’importante destinazione per quel che riguarda l’ottenimento delle chiavi di decodifica relative non solo a WildFire, ma anche ad altri minacciosi programmi ransomware, quali Chimera, Teslacrypt, Shade, e ad un’altra temibile variante di cryptoblocker che ha preso di mira gli utenti situati in Olanda, ovvero CoinVault.

È ormai trascorso quasi un anno da quando la National High Tech Crime Unit (NHTCU) olandese aveva sollecitato l’appoggio dei ricercatori di Kaspersky Lab, arrestando poi due persone residenti nei Paesi Bassi, accusate di tenere le fila della campagna CoinVault. Come nel caso di WildFire, anche gli attacker che si nascondevano dietro CoinVault sfoggiavano una conoscenza assolutamente impeccabile della lingua olandese, segno, questo, più che rivelatore del fatto che ci trovavamo di fronte, a tutti gli effetti, ad una “connection” olandese.

“Il sequestro delle chiavi di decriptazione di WildFire dimostra, ancora una volta, come la lotta nei confronti del cybercrimine, ed in special modo contro il ransomware, risulti di maggior successo se condotta attraverso specifiche e fattive collaborazioni,” ha dichiarato mercoledì scorso John Fokker, Digital Team Coordinator della National High Tech Crime Unit olandese, “La polizia olandese si adopererà per aiutare al massimo le vittime del ransomware, investigando sui casi di infezione che si registrano, smantellando le infrastrutture cybercriminali e distribuendo le relative chiavi di decodifica”.

Fonte: Threatpost

Post correlati

Lascia un commento

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *