News

Un ransomware Linux si rifiuta di estorcere denaro agli utenti dei paesi ex-URSS

I ricercatori di Malwarebytes hanno individuato una nuova variante del primo cryptoblocker della storia destinato a GNU/Linux. Il nuovo arrivato, tuttavia, si premura di presentare le proprie scuse agli abitanti dei paesi che, un tempo, facevano parte dell’Unione Sovietica, dichiarandosi pronto a decifrare in forma gratuita i file appartenenti agli utenti ubicati in tali aree geografiche.

Ricordiamo, con l’occasione, che il suddetto malware crittografico, battezzato Linux.Encoder dai colleghi di Dr.Web (i prodotti Kaspersky Lab rilevano lo stesso come Ransom.Linux.Cryptor e Trojan-Ransom.FreeBSD.Cryptor), è apparso sui radar delle società antivirus all’inizio dello scorso mese di novembre. Esso viene eseguito con diritti di amministratore, ed effettua le operazioni di codifica dei file dell’utente-vittima allo stesso modo di numerosi altri “confratelli”, progettati per colpire l’OS Windows: il file viene inizialmente criptato tramite una chiave AES-128 generata sul momento, e riceve l’estensione .encrypted; in seguito, la chiave di cifratura viene a sua volta codificata in base ad un algoritmo RSA. La chiave RSA privata viene custodita dai malintenzionati, per poi essere messa in circolazione (per la relativa decodifica) soltanto ad avvenuto pagamento del riscatto richiesto.

Attualmente, gli analisti di virus distinguono tre diverse versioni del ransomware Linux.Encoder: le versioni 1 e 2, individuate da Dr.Web, e la versione originale (0), che risale al mese di agosto, la quale è stata a suo tempo analizzata da Bitdefender. Il blocker Linux.Encoder.2, secondo Dr. Web, si distingue dalla sua prima versione per il fatto che ricorre all’utilizzo di un altro generatore di numeri pseudo-casuali; inoltre, la versione 2 del malware crittografico qui esaminato, per compiere le operazioni di codifica, fa uso di un’altra libreria: si tratta di OpenSSL, e non di PolarSSL, come avveniva in precedenza.

Il sample rilevato più tardi da Malwarebytes, si contraddistingue per la presenza di un passaggio in lingua russa all’interno del relativo messaggio in inglese contenente la richiesta di pagamento del riscatto. Nella circostanza, gli estorsori presentano le proprie scuse agli abitanti della Russia e dei paesi che fanno parte della Comunità degli Stati Indipendenti (CSI), dichiarando di essere pronti a decodificare gratuitamente i file criptati dal malware in questione. Per ottenere quanto promesso è sufficiente, per gli utenti-vittima, inviare un’e-mail all’indirizzo di posta elettronica indicato nel messaggio:

linux_ransom

(fonte: Malwarebytes; vedi post pubblicato su Help Net Security)

L’unico metodo sinora osservato dagli esperti, per ciò che riguarda la diffusione di Linux.Encoder, è rappresentato dall’utilizzo di determinate vulnerabilità rilevate nelle popolari piattaforme CMS (Content Management System) WordPress e Magento. Secondo le statistiche rese note da Dr. Web, già alla metà del mese di novembre il nuovo cryptoblocker era riuscito ad infettare oltre 2.900 macchine Linux; intanto, il numero delle vittime continua ad aumentare, così come gli appetiti degli estorsori. Inizialmente, per procedere alla decodifica dei file cifrati, questi ultimi esigevano il pagamento di 50 dollari in bitcoin; adesso, la cifra in questione può raggiungere i 500 dollari, e addirittura spingersi, in certi casi, sino a 999 dollari.

In conclusione, è opportuno segnalare che gli esperti di Bitdefender hanno rilevato un errore “catastrofico”, da parte dei malintenzionati, riguardo all’implementazione del generatore di chiavi AES di cui è provvisto il malware Linux.Encoder: tali chiavi vengono in effetti create in base al timestamp del preciso momento in cui viene eseguita l’operazione di codifica. Tale “difetto” ha permesso agli esperti di elaborare un apposito script di decodifica, al quale non occorre la chiave privata RSA; lo strumento di “salvataggio”, aggiornato a seconda della specifica evoluzione del malware, viene offerto gratuitamente alle vittime di Linux.Encoder. La società Dr. Web è ugualmente disposta a fornire l’aiuto necessario per la decodifica dei file criptati, ma solo ai propri clienti.

Fonte: Net Help Security

Un ransomware Linux si rifiuta di estorcere denaro agli utenti dei paesi ex-URSS

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *

 

Report

Evoluzione dei malware mobile – 2016

Ha continuato a crescere in maniera davvero sensibile, nel corso del 2016, il numero dei Trojan pubblicitari in grado di utilizzare i diritti di superutente. Si è trattato, lungo tutto l’arco dell’anno, della minaccia informatica numero 1; al momento attuale non scorgiamo, peraltro, validi motivi ed argomenti che lascino intravedere qualche cambiamento riguardo a tale specifica tendenza.

Lo spam nell’anno 2016

Nel 2016, all’interno dei flussi di spam, si sono verificati diversi cambiamenti; tra di essi, quello più significativo riguarda il sensibile aumento del numero di mailing di massa preposte alla distribuzione dei temibili programmi ransomware. Considerando l’effettiva disponibilità, sul mercato nero, di simili software nocivi, è presumibile che tale tendenza continui a manifestarsi anche nell’anno in corso.

Kaspersky Security Bulletin 2016. Rassegna annuale. Le statistiche dell’anno 2016

Il 2016 è stato, nell’ambito della cyber sicurezza, un anno davvero intenso e turbolento, caratterizzato da imponenti botnet IoT, ransomware, attacchi mirati di cyber spionaggio, ingenti furti nella sfera finanziaria, “hacktivismo” e molto altro ancora. Il Kaspersky Security Bulletin 2016 e il report Statistics di Kaspersky Lab forniscono un quadro dettagliato della situazione; qui, invece, si può leggere l’Executive Summary.

Kaspersky Security Bulletin 2016. La rivoluzione del ransomware

Tra gennaio e settembre 2016 gli attacchi ransomware diretti alle imprese sono aumentati di tre volte, fino all’equivalente di un attacco ogni 40 secondi. Con il boom del ransomware-as-a-service, ed il lancio del progetto NoMoreRansom, Kaspersky Lab ha definito il ransomware come il proprio “tema chiave” per il 2016.

Iscriviti alle nostre e-mail settimanali

La ricerca più all'avanguardia, direttamente nella tua inbox