EUCOOKIELAW_BANNER_TITLE

Ransom32: Il malware diventa un ‘servizio’

0

Il nuovo anno si apre con una brutta sorpresa: il blog di esmisoft ha rivelato che nel dark web, la rete nascosta su cui si svolgono spesso traffici illegali, è apparsa una nuova forma di ransomware, una categoria di programmi nocivi che sequestrano i dati personali per poi chiedere un riscatto.

Si tratta di una decisa escalation rispetto al passato, sia sotto il profilo tecnologico che dal punto di vista operativo.

Sotto il profilo tecnico è il primo ransomware scritto nel linguaggio dei browser, il Javascript. A differenza dei malware scritti in altri linguaggi, che sono quindi strettamente dipendenti dal sistema operativo utilizzato sul PC, questo ransomware viene eseguito direttamente dal browser, e quindi è tecnicamente in grado di attaccare un computer indipendentemente dal sistema operativo utilizzato.
Il programma, che utilizza una piattaforma legittima e molto diffusa (node.js/nw.js), installa un piccolo modulo di avvio che scarica poi da internet il resto del software, che pesa circa 22 Mbyte. Una volta scaricato avvia la ben nota fase di crittografazione dei dati. Il malware cripta i file in base all’estensione, ed utilizza in alcuni casi il carattere jolly ‘*’ per fare un bottino più ampio. Dato che l’algoritmo usato è l’AES a 128 bit, con una nuova chiave per ogni file, i file attaccati diventano virtualmente inaccessibili.
Una volta criptati i file viene visualizzato la schermata di richiesta del riscatto:

ransom32

Rilevante, ma non una novità in assoluto, è che il malware viene commercializzato come una sorta di servizio, seguendo la logica del SaaS (software as a service) che si sta imponendo sul mercato informatico generale (e legale). Sul dark web chiunque abbia la possibilità di gestire bitcoin può affittare il malware e creare una sua versione personale. Gli sviluppatori del malware gestiscono infatti il traffico delle somme estorte trattenendone il 25 %.
Il malware ha anche una interfaccia web di configurazione, che consente di controllarne le funzionalità.

ransom32_config

Già in passato versioni di ransomware erano disponibili sul dark web. Rimane il fatto che la semplicità di questo approccio rischia di produrre moltissimi danni.

La scelta di usare come piattaforma del malware un framework legittimo come NW.js, peraltro, renderà molto difficile il lavoro per gli antivirus e gli antimalware che basano la rilevazione sulla ricerca delle firme, ovvero frammenti di codice che sono in grado di identificare in modo inequivocabile un virus.

Questo rende la protezione dai ransomware sempre più difficile. La migliore protezione rimane quindi come sempre una solida strategia di backup ed un atteggiamento proattivo verso il problema.

La foto del titolo è la macchina crittografica Lorenz, fonte wikipedia
Le schermate del post sono di emsisoft.

Condividi:

L'autore

Consulente Informatico, blogger, problem solver, radioamatore. Ho iniziato la mia attività nel 1977 sviluppando sistemi di calcolo nell'area energie alternative e rinnovabili e da allora mi sono sempre interressato delle frontiere della tecnologia. Nel 1984 sono stato fra i pionieri delle BBS, i primi servizi telematici pubblici, e l'anno successivo ho portato in Italia Fidonet, la prima rete pubblica mondiale, che ho coordinato sino al 1994. Sono attivamente su Internet agli inizi degli anni 90, Nel 1998 sono stato fra i primi a credere nella convergenza digitale, arricchendo internet con materiale multimediale, come audio e video, anni prima del Web 2.0. Continuo da sempre ad occuparmi di informatica e di tecnologia con un occhio attento al futuro che ci attende. Continuo a lavorare come consulente informatico, con una specifica competenza in sicurezza, reti di comunicazione, sistemi operativi e tecnologie di virtualizzazione.

Lascia un commento