venerdì 31 luglio 2015

Kaspersky: ransomware TeslaCrypt 2.0 chiede 500 dollari di riscatto


Una variante del famoso Cryptolocker, denominata TeslaCrypt, blocca l'accesso ai file e chiede il pagamento di un riscatto di 500 dollari per renderli utilizzabili. La maggior parte delle infezioni di TeslaCrypt sono avvenute negli Stati Uniti, Germania e Spagna; seguiti da Italia, Francia e Regno Unito. Kaspersky Lab ha rilevato un comportamento anomalo in una nuova minaccia appartenente alla famiglia di encryptor ransomware TeslaCrypt. Nella versione 2.0 del Trojan, conosciuto per aver infettato principalmente i gamer di videogiochi online, viene visualizzata una pagina HTML nel browser web, che consiste in una copia esatta di CryptoWall 3.0, un altro noto programma ransomware.

E’ probabile che i criminali con questa azione stiano siglando una dichiarazione di intenti: finora, molti file crittografati CryptoWall non possono essere decifrati, a differenza dei numerosi casi di infezione TeslaCrypt del passato. Come conseguenza dell’infezione, il programma nocivo chiede un riscatto di 500 dollari per ottenere la chiave di decrittazione e più tempo passa senza che la vittima paghi il riscatto più questo raddoppia. I primi sample di TeslaCrypt sono stati scoperti nel febbraio 2015 ed il nuovo ransomware Trojan è diventato famoso tra le minacce rivolte ai gamer. 

Tra gli altri file obiettivo della minaccia sono inclusi file legati al gaming: tra cui salvataggi di partite, profili utente e replay decodificati. La crittografia è molto più forte di prima. TeslaCrypt non cripta file che superano i 268 MB. Quando TeslaCrypt miete una nuova vittima, genera un indirizzo Bitcoin esclusivo per ricevere il pagamento del riscatto oltre ad una chiave segreta per riscuoterlo. I server di C&C di TeslaCrypt sono situati nella rete Tor. La versione 2.0 del Trojan utilizza 2 set di chiavi: uno di tipo esclusivo all’interno di un sistema infetto mentre l’altro generato ripetutamente ogni volta che il programma viene rilanciato.

Inoltre la chiave segreta con la quale i file utente vengono criptati non viene salvata sul disco rigido, il che rende il processo di decodificazione molto più complesso. In breve, gli hacker hanno imparato dai loro errori e hanno creato un pezzo forte di ransomware. E’ stato riscontrato che la famiglia di malware TeslaCrypt si propaga attraverso i kit exploit Angler, Sweet Orange e Nuclear. Il meccanismo di propagazione si innesca quando la vittima visita un sito infetto e il codice exploit dannoso, utilizzando le vulnerabilità del browser – in particolar modo i plugin – installa il malware sul computer della vittima.

“TeslaCrypt, un cacciatore di gamer, è progettato per ingannare e intimidire gli utenti. La sua versione precedente inviava un messaggio nel quale la vittima veniva avvertita che i suoi file erano stati criptati dal famoso algoritmo di crittografia RSA-2048 e questo voleva dire che non c’era possibilità di pagare il riscatto. In realtà, i cyber criminali non utilizzano questo algoritmo. Nella sua più recente versione, TeslaCrypt induce le vittime a pensare che hanno a che fare con CryptoWall – il quale una volta che ha criptato i file dell’utente non consente in alcun modo di decifrarli”, ha dichiarato Morten Lehn, Managing Director di Kaspersky Lab Italia..

“Tuttavia, tutti i link portano ad un server TeslaCrypt – questo fa pensare che gli autori del malware non hanno alcuna intenzione di donare il denaro delle proprie vittime ad un concorrente”, ha aggiunto Lehn. Le nuove varianti di ransomware usufruiscono anche del protocollo di crittografia a curve ellittiche ECDH – Elliptic curve Diffie–Hellman. In sostanza i file vengono crittografati con una chiave simmetrica la quale viene crittografata con una chiave pubblica e che può essere decifrata solo da una chiave privata che appartiene all'attaccante. Per ottenere questa chiave gli utenti vengono convinti a pagare un riscatto utilizzando valute virtuali come Bitcoin.

https://securelist.com/

Questa nuova famiglia è stata rilevata da Kaspersky Lab come Trojan-Ransom.Win32.Onion. Questo tipo di malware ha la capacità di cifrare qualsiasi storage preso di mira come unità USB o unità di Rete. Kaspersky Lab consiglia agli utenti di creare regolarmente delle copie di backup dei file più importanti. Il supporto su cui vengono fatte le copie dovrebbe essere disconnesso subito dopo che la copia di backup risulta completata. Aggiornare il software regolarmente, in particolare il browser e i suoi plug-in. Aggiornare la soluzione di sicurezza all'ultima versione disponibile con i database aggiornati e i moduli di sicurezza attivati. 

prodotti Kaspersky Lab rilevano questo programma nocivo come Trojan-Ransom.Win32.Bitman.tk e proteggono gli utenti contro questa minaccia. Inoltre, nelle soluzioni di Kaspersky Lab è implementato Cryptomalware Countermeasure Subsystem che registra l'attività quando applicazioni sospette tentano di aprire i file personali di un utente e crea prontamente delle copie locali protette. Se l'applicazione viene poi giudicata dannosa, effettua un’operazione di rollback automatico delle modifiche indesiderate sostituendo i file con le copie. In questo modo, gli utenti vengono protetti anche dai cryptomalware ancora sconosciuti.

Una versione completa del report è disponibile su Securelist.com. Kaspersky Lab lavora rigorosamente per proteggere gli utenti della rete contro i ransomware. Nel mese di aprile, in collaborazione con The National High Tech Crime Unit (NHTCU) dei Paesi Bassi, la società ha lanciato il sito web The Ransomware Decryptor che aiuta le vittime del famigerato ransomware CoinVault a recuperare i propri dati senza pagare alcun riscatto ai criminali. Il malware si concentra appositamente sui videogiocatori online e prende di mira alcuni dei più popolari giochi single-player. Per informazioni su Kaspersky Lab: www.kaspersky.com/it. Source: Kaspersky Newsroom




Nessun commento:

Posta un commento