Ransomware, per i ricatti ora c’è l’assistenza via chat

assistenza-chat

Cosa potrebbe esserci di peggio di una infezione da ransomware, cioè da un software malevolo che cifra tutti i i file del pc chiedendo un riscatto in cambio della chiave di decifrazione? Essere infettati da un ransomware che, oltre a cifrare i file, scarica di nascosto un trojan, un software che permette a un attaccante di spiare o controllare da remoto il nostro pc. E questo anche dopo che si è pagato il riscatto e si è ottenuto, se va bene, la decifrazione dei file.

Eppure è l’idea che sembra essere alla base di un un ransomware nuovo di zecca, appena individuato dai ricercatori della società di sicurezza ReaQta su un dominio web. Il malware – che sembra per ora puntare a utenti russi anche se non è stata ancora identificata una eventuale rete di distribuzione – cifra i file della vittima chiedendo circa 250 dollari di riscatto ma nel contempo scarica sul suo pc il trojan Pony. Cosa è in grado di fare questo software una volta installato su un computer? Ad esempio, rubare password e altre credenziali di accesso a siti e servizi.

Non è la prima volta che si trovano malware in grado di combinare entrambe le caratteristiche, e qualcuno ha iniziato a parlare di ransomware come “distrazione” per altre operazioni.

130 FAMIGLIE E TANTA CREATIVITA’

Ma questa non è l’unica novità nel mondo delle cyber estorsioni, un fenomeno esploso nell’ultimo anno che ora sembra sperimentare con una serie di innovazioni e funzionalità particolari. Anche perché il trend non è affatto in diminuzione – e l’Italia è in prima linea tra i Paesi vittima. Il numero di domini web malevoli impiegati nel business dei ransomware è infatti aumentato ancora nei primi tre mesi del 2016, rispetto agli ultimi tre del 2015, secondo i dati di Infoblox.

Attualmente, sono circa 130 le famiglie di ransomware esistenti, mentre i singoli o i gruppi criminali che ne gestiscono la distribuzione competono sempre di più per una stessa fetta di mercato – qua alcuni ricercatori internazionali mantengono una lista aggiornata delle varie tipologie con anche le informazioni sull’esistenza di strumenti per decifrare.

CHATTA CON L’ESTORSORE

Tutto ciò porta da un lato a cercare nuovi sbocchi e nuove nicchie, dall’altro a differenziarsi dalla concorrenza. Magari attraverso un mix di sadiche minacce e supporto personale, come accade nella campagna che diffonde il ransomware Jigsaw. Si tratta di un malware, emerso lo scorso aprile, che cifra 240 tipi di file chiedendo 150 dollari come riscatto per ottenere la chiave di decifrazione. Però aggiunge un tocco di sadismo: un contatore che ogni ora cancella un file finché non viene pagata la cifra indicata. Se l’utente prova a spegnere il pc, sono cancellati automaticamente mille file per punizione.

Ora, avvisano i ricercatori di TrendMicro, alla richiesta di riscatto che appare sullo schermo è stato aggiunto un link a una chat live, dove le vittime possono interloquire in diretta con gli aggressori. E in alcuni casi trattare sul prezzo. Tuttavia la stessa TrendMicro sottolinea come questa “attenzione al cliente” non sia altro che un modo per convincerlo a pagare anche quando potrebbe evitarlo.

Tempo fa alcuni ricercatori avevano sviluppato uno strumento per la decifrazione gratuita dei file colpiti da Jigsaw. Gli autori del ransomware in risposta avevano cambiato nome al loro malware, ribattezzandolo CryptoHitman, per mascherarlo.

SMART TV NEL MIRINO

Sempre TrendMicro ha individuato una nuova variante di un ransomware per Android in grado di bloccare anche alcune smart Tv . The FLocker, questo il nome del malware, deve fare in modo di ottenere delle autorizzazioni dall’utente, e in caso ciò non avvenga congela lo schermo fingendo un problema tecnico da risolvere con un aggiornamento. Una volta installato, fa apparire un messaggio che finge di essere una multa da una qualche polizia da pagare in carte regalo iTunes, in cambio del codice per sbloccare l’apparecchio. E, come era stato rilevato in questa inchiesta sui ransomware, controlla che l’indirizzo IP dell’utente non appartenga a Russia, Ucraina, Armenia e altri Paesi della regione. Insomma, non si fa mancare proprio niente. Tuttavia va specificato che il malware in questione si limita a bloccare la home screen, per cui è possibile rimuoverlo.

L’ UNIVERSITA’ CHE PAGA 16MILA DOLLARI

Nel mentre, c’è chi continua a pagare, e non si tratta di comuni utenti. L’università di Calgary, in Canada, dopo dieci giorni di stallo, ha deciso di sborsare 16mila dollari in bitcoin per ottenere il codice di decifrazione dopo che un ransomware aveva cifrato tutti i suoi dati. “Non vogliamo perdere il lavoro di una vita di qualcuno”, hanno commentato i dirigenti dell’ateneo giustificando il pagamento.

Forse vale la pena ricordare che la miglior prevenzione contro i ransomware è mantenere backup multipli e aggiornati. Se ormai è troppo tardi e si è stati infettati, si può controllare su questo sito l’esistenza di eventuali strumenti per la decifrazione dello specifico malware, caricando uno dei file cifrati insieme alla richiesta di riscatto. Tra i siti italiani un punto di riferimento con informazioni utili al riguardo è anche Ransomware.it. (fonte)

You may also like...