mercoledì 31 ottobre 2018

Rilasciato nuovo tool di decifrazione contro il ransomware GandCrab


Un nuovo strumento di decrittografia, che permette di recuperare file oggetto di infezione del ransomware GandCrab, è stato stato sviluppato da società di sicurezza in collaborazione con forze dell’ordine di diversi Paesi. GandCrab è stato scoperto verso la fine del gennaio 2018 come parte di Ransomware-as-a-Service (RaaS) e presto è diventato il ransomware più popolare e diffuso dell'anno. I crypto-malware si infiltrano nei computer attraverso file allegati in e-mail di spam o sfruttando la vulnerabilità dei software. Il nuovo tool consente alle vittime di GandCrab in tutto il mondo di recuperare le loro informazioni crittografate senza pagare decine di milioni di dollari in riscatto ai criminali.

Da qualche giorno, nell’ambito di una articolata attività di indagine nella quale il Servizio di Polizia Postale e delle Comunicazioni ha collaborato con Europol ed omologhe forze di Polizia estere europee è stato sviluppato e rilasciato un nuovo strumento di decrittografia, pubblicato gratuitamente su www.nomoreransom.org (portale di Europol dedicato alla materia ed il supporto cyber), che consente di recuperare file oggetto di infezione del ransomware GandCrab. Il kit di recupero dati, si legge in un comunicato pubblicato sul sito del Commissariato di P.S. Online, è stato sviluppato dalla polizia rumena in collaborazione con i suoi omologhi di Bulgaria, Francia, Polonia, Paesi Bassi, Regno Unito e Stati Uniti e dal CNAIPIC del Servizio Polizia Postale delle Comunicazioni, con il contributo della società di sicurezza Bitdefender ed Europol.

La campagna GandCrab è uno degli attacchi malware più aggressivi degli ultimi mesi, che ha contagiato quasi mezzo milione di vittime da quando è stato rilevato per la prima volta nel gennaio 2018. Una volta che il ransomware rileva il computer di una vittima e crittografa i suoi file, richiede un riscatto che va da 300 a 6.000 dollari. Il riscatto deve essere pagato tramite valute virtuali (criptovalute) note per rendere difficilmente tracciabili le transazioni online, come DASH e Bitcoin. Gli autori di questo ransomware sono molto attivi e hanno rilasciato almeno cinque versioni di GandCrab fino ad oggi. GandCrab ha subito delle battute d'arresto da quando la società antivirus Bitdefender ha rilasciato un decrypter per le versioni precedenti di GandCrab (v1.0 e v1.1). Il nuovo strumento è in grado adesso di decifrare i dati cifrati dal ransomware nelle versioni 1, 4 e 5.


Quanto messo a punto rappresenta lo strumento di decrittografia più completo finora disponibile per questa particolare famiglia di ransomware: funziona per tutte tranne due versioni esistenti del malware (v.1, 4 e 5), indipendentemente dalla posizione geografica della vittima. Ovviamente è gratis ma bisogna tenere presente che non si tratta di uno strumento di “vaccinazione”. Già a febbraio è stato reso disponibile un primo strumento di decrittografia su “No More Ransom”, una seconda versione del ransomware GandCrab è stata successivamente rilasciata dai criminali, questa volta con una codifica migliorata che includeva anche commenti per provocare le forze dell'ordine e le società di sicurezza cyber. Una ulteriore terza versione seguì il giorno dopo. Nella sua attuale quinta versione, il malware continua ad essere aggiornato ad un ritmo aggressivo.

GandCrab è distribuito tramite più vettori di diffusione, che includono email di spam, exploit kit e altre campagne di malware affiliate. Il ransomware viene veicolato anche sfruttando siti Web compromessi attraverso pagine maligne iniettate in siti Web legittimi, principalemente creati utilizzando WordPress, al fine di condurre utenti ignari al malware GandCrab. I suoi sviluppatori stanno rilasciando costantemente nuove versioni di esso, con nuovi e più sofisticati campioni messi a disposizione per bypassare le contromisure dei fornitori di servizi di cybersicurezza. La rapida diffusione di GandCrab è dovuta ad uno schema di ransomware-as-a-service (RaaS), che offre sul darkweb, anche agli aspiranti cybercriminali con poca o nessuna esperienza tecnica, un toolkit per lanciare attacchi di malware facili e veloci, in cambio del 30 percento di ogni pagamento di riscatto.


“La pubblicazione di questo strumento di decodifica è una svolta spettacolare che mette in evidenza l'efficacia della collaborazione tra i venditori di sicurezza e le forze dell'ordine”, ha dichiarato il portavoce di Bitdefender®. “Abbiamo dedicato mesi interi lavorando a questo strumento per rendere possibile la decifratura ed aiutare le vittime a riprendere il controllo della propria vita digitale senza costi”. Bitdefender ha anche affermato che sta ancora lavorando alla creazione di un decodificatore in grado di sbloccare i file crittografati dalle versioni 2 e 3 di GandCrab. Il nuovo strumento di decrittografia è una grande vittoria per le forze dell’ordine e indirettamente le vittime che hanno crittografato i loro file. Mentre GandCrab v1 è stato utilizzato principalmente a gennaio e febbraio, v4 e v5 sono stati messi in circolazione a luglio e settembre, rispettivamente.

Ciò significa che chiunque si stato infettato con le versioni di GandCrab rilasciate negli ultimi 4 mesi può ora recuperare i file gratuitamente, senza pagare la richiesta di riscatto di GandCrab che può arrivare fino a 6.000 dollari per computer infetto. GandCrab è, di gran lunga, la varietà di crypto-malware più attiva e diffusa oggi, prendendo il posto di Locky e Petya, le principali varietà ransomware del 2016 e del 2017. Le nuove versioni di GandCrab vengono solitamente rilasciate ogni una o due settimane e il ransomware è stato convertito per colpire anche versioni precedenti di Windows, come l’ormai obsoleto XP . Oltre a Europol e Bitdefender, la Polizia Postale italiana ha lavorato anche con le controparti provenienti da Bulgaria, Francia, Ungheria, Italia, Polonia, Paesi Bassi, Regno Unito e il Federal Bureau of Investigation (FBI) degli Stati Uniti.

Le vittime di tale campagna ransomware possono visitare il sito www.nomoreransom.org ove questo nuovo strumento di decrittografia è disponibile gratuitamente. La migliore strategia contro le campagne ransomware rimane comunque quella di attivare corrette procedure preventive. Consigli utili: • Conservare sempre una copia di backup dei file più importanti su supporto esterno alla macchina in uso: in un cloud, su un'altra unità di memoria, su una memory stick  o su un altro computer; • Utilizzare un software antivirus affidabile e sempre aggiornato; • Non scaricare programmi da fonti sospette;  Non aprire allegati in e-mail da mittenti sconosciuti, anche se sembrano importanti e  credibili; • Non pagare il riscatto richiesto, in quanto, oltre a finanziare forme di criminalità informatica,  nessuno può garantire l’effettiva decrittazione dei file cifrati. Via: ZDNet



Nessun commento:

Posta un commento