News

Spora, il ransomware al servizio dei “clienti”

All’inizio dell’anno in corso, i ricercatori hanno scoperto il nuovo ransomware Spora, il quale, originariamente, attaccava solo gli utenti di lingua russa, ed ha poi cominciato a diffondersi in numerosi paesi. Fin dagli inizi, il “pezzo forte” del malware in questione si è rivelato essere il portale utilizzato per il pagamento del riscatto, uno strumento di elevata qualità, realizzato in maniera particolarmente accurata. Al momento attuale, gli autori di Spora si presentano come uno degli “operatori” più “professionali” e maggiormente all’avanguardia nel torbido panorama delle campagne ransomware: in effetti, essi investono nello sviluppo di un servizio di supporto tecnico indubbiamente qualificato e, al contempo, si dimostrano pienamente impegnati nell’intrattenere, con le proprie vittime, una sorta di “pubbliche relazioni”, con il preciso intento di consolidare in ogni modo la propria fama di estorsori particolarmente “client-oriented”.

Una delle “fiches” di maggior “pregio” del ransomware Spora, davvero unica, è senza dubbio rappresentata dall’apposita finestra di chat riservata al supporto “clienti”, attraverso la quale le vittime hanno la possibilità di comunicare in tempo reale direttamente con i cybercriminali ricattatori. I ricercatori sono riusciti ad ottenere l’accesso alle pagine riservate ad alcuni degli utenti-vittima ed hanno così potuto monitorare le comunicazioni avute da questi ultimi con i malfattori.

L’assistenza tecnica viene effettuata sia in lingua russa, sia in lingua inglese. Gli “operatori” evidenziano indubbie capacità comunicative, cercano di non far degenerare certe situazioni critiche che si possono presentare chattando con “clienti” decisamente arrabbiati, se non furibondi, e forniscono sempre risposte tempestive e “professionali” alle domande poste.

I ricercatori sono inoltre rimasti particolarmente colpiti dal fatto che gli estorsori dimostrano “lealtà e correttezza” nei confronti delle proprie vittime, e, tra l’altro, si rivelano inclini a a prolungare, oppure addirittura ad annullare il termine ultimo previsto per il pagamento del riscatto, in favore di tutti coloro che lasciano dei feedback positivi, riguardo al lavoro svolto dagli operatori della campagna ransomware, sul forum di BleepingComputer (per il momento, tuttavia, nessun utente-vittima si è ancora fatto avanti, per cercare di beneficiare di tutta questa “generosità”). Allo stesso modo, i malintenzionati offrono “sconti” e la decodifica gratuita di file particolarmente importanti.

Il ricorso ai feedback positivi costituisce di sicuro una mossa piuttosto sapiente, a livello di marketing, visto che essa sfrutta proprio il concetto di fiducia da parte del “cliente”. Naturalmente, recensioni del genere potrebbero convincere le altre vittime del ransomware riguardo al fatto che, se queste ultime provvedono al pagamento del riscatto richiesto, può essere certamente ottenuta la decodifica dei file compromessi. Come è noto, si sono già verificati numerosi casi in cui, persino dopo aver effettuato il pagamento, le vittime non hanno potuto decifrare i file in precedenza criptati; una simile situazione, ovviamente, causa evidenti danni alla “reputazione” stessa del concetto di attacco ransomware, visto che il successo di tale assalto informatico dipende, in primo luogo, proprio dalla convinzione, da parte delle vittime, che il pagamento del riscatto potrà comunque risolvere il loro problema.

Vi è, poi, un ulteriore atto di “gentilezza”, o se vogliamo “riverenza”, nei confronti delle vittime; si tratta di un servizio aggiuntivo fornito dagli operatori di Spora: pagando una determinata cifra (nell’ordine dei 50 dollari $) risulta possibile acquistare una sorta di “immunità”, in pratica una vera e propria protezione contro eventuali successive infezioni provocate dal malware in causa. L’installer utilizzato per tale singolare opzione crea, in pratica, un file con lo stesso nome di quello generato nel momento in cui si manifesta la prima infezione prodotta da Spora. Così, una volta installato il tool in questione, se il computer dell’utente viene nuovamente infettato da Spora, il ransomware individuerà l’apposito file con funzione di identificatore, deducendo, quindi, che esso non dovrà insediarsi ancora una volta su tale macchina.

Secondo i dati raccolti da MalwareHunter, inoltre, si è persino verificato un caso in cui gli sviluppatori di Spora hanno offerto uno sconto del 10% per la decodifica dei file appartenenti ad una società che si era vista infettare, da parte di Spora, oltre 200 dispositivi. I ricercatori sostengono che il cosiddetto supporto clienti di Spora sia addirittura organizzato meglio di quello abitualmente fornito da molte società attive nel settore IT.

Il numero delle infezioni generate da Spora sta progressivamente crescendo; nonostante l’entità di tale diffusione non abbia ancora raggiunto gli elevati indici riscontrati, ad esempio, riguardo ai noti malware crittografici Cerber e Locky, il ransomware Spora sembra avere tutte le carte in regola per poter conseguire un simile “successo”. Non è stato ancora sviluppato, al momento, il decryptor in grado di neutralizzare Spora.

Fonte: Threatpost

Spora, il ransomware al servizio dei “clienti”

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *

 

Report

Evoluzione dei malware mobile – 2016

Ha continuato a crescere in maniera davvero sensibile, nel corso del 2016, il numero dei Trojan pubblicitari in grado di utilizzare i diritti di superutente. Si è trattato, lungo tutto l’arco dell’anno, della minaccia informatica numero 1; al momento attuale non scorgiamo, peraltro, validi motivi ed argomenti che lascino intravedere qualche cambiamento riguardo a tale specifica tendenza.

Lo spam nell’anno 2016

Nel 2016, all’interno dei flussi di spam, si sono verificati diversi cambiamenti; tra di essi, quello più significativo riguarda il sensibile aumento del numero di mailing di massa preposte alla distribuzione dei temibili programmi ransomware. Considerando l’effettiva disponibilità, sul mercato nero, di simili software nocivi, è presumibile che tale tendenza continui a manifestarsi anche nell’anno in corso.

Kaspersky Security Bulletin 2016. Rassegna annuale. Le statistiche dell’anno 2016

Il 2016 è stato, nell’ambito della cyber sicurezza, un anno davvero intenso e turbolento, caratterizzato da imponenti botnet IoT, ransomware, attacchi mirati di cyber spionaggio, ingenti furti nella sfera finanziaria, “hacktivismo” e molto altro ancora. Il Kaspersky Security Bulletin 2016 e il report Statistics di Kaspersky Lab forniscono un quadro dettagliato della situazione; qui, invece, si può leggere l’Executive Summary.

Kaspersky Security Bulletin 2016. La rivoluzione del ransomware

Tra gennaio e settembre 2016 gli attacchi ransomware diretti alle imprese sono aumentati di tre volte, fino all’equivalente di un attacco ogni 40 secondi. Con il boom del ransomware-as-a-service, ed il lancio del progetto NoMoreRansom, Kaspersky Lab ha definito il ransomware come il proprio “tema chiave” per il 2016.

Iscriviti alle nostre e-mail settimanali

La ricerca più all'avanguardia, direttamente nella tua inbox