Il ransomware TeslaCrypt 2.0: ancora più forte e pericoloso

I ransomware TeslaCrypt sono famosi per colpire i file dei videogiochi, oltre a foto e altri documenti. La nuova versione è ancor più pericolosa.

Cryptolocker2.0

I cybercriminali imparano dalle esperienze dei “colleghi”. Prendiamo ad esempio TeslaCrypt, una famiglia di ransomware relativamente recente (i primi campioni individuati risalgono a febbraio 2015). La caratteristica principale delle prime versioni di TeslaCrypt era che il malware colpiva non solo i file “tradizionali” come documenti, foto e video ma anche file che si usano normalmente per i videogiochi. All’inizio, però, si trattava di un malware piuttosto debole, con un paio di falle tecniche grazie alle quali poteva essere annientato.

Nonostante i creatori del malware spaventassero le vittime con il temuto algoritmo RSA-2048, in realtà la crittografia utilizzata non era così forte. Inoltre, durante il processo di cifratura, il malware immagazzinava le chiavi crittografiche in un file sull’hard disk del computer della vittima; in questo modo era possibile salvare la chiave interrompendo le operazioni dell’encryptor oppure si poteva estrarre la chiave prima che fosse riscritta l’area corrispondente dell’hard disk.

Tuttavia, come abbiamo accennato all’inizio del post, i cybercriminali imparano dai propri errori. Nell’ultima versione, TeslaCrypt 2.0, scoperta di recente dai ricercatori di Kaspersky Lab, i creatori del malware hanno implementato nuove caratteristiche per evitare che possano essere decifrati i file rubati e scoperti i server command&control del malware.

Innanzitutto è stato adottata l’algoritmo crittografico basato su curve ellittiche, preso dai creatori del famoso e insidioso ransomware CTB-Locker. In secondo luogo, hanno modificato il sistema d’immagazzinamento delle chiavi crittografiche, utilizzando un registro di sistema al posto del file su disco.

In terza istanza, la pagina Internet che gli utenti visualizzano dopo che i propri file sono stati criptati, è stata presa da un’altra famiglia di ransomware, Cryptowall. Ovviamente tutte le credenziali di pagamento sono state modificate ma il resto del testo, molto efficace dal punto di vista del “marketing”, è stato copiato integralmente. Il riscatto è abbastanza costoso: 500 dollari secondo il tasso di cambio in bitcoin.

I malware della famiglia TeslaCrypt si diffondono attraverso expoit kit come Angler, Sweet Orange e Nuclear. Il meccanismo è il seguente: quando una vittima visita un sito Internet infetto, il codice dannoso dell’exploit sfrutta le vunerabilità del browser (che si trovano di solito nei plugin) per installare il malware nel sistema.

I paesi più colpiti sono Stati Uniti, Germania, Regno Unito, Francia, Italia e Spagna. I prodotti Kaspersky Lab identificano un malware appartenente alla famiglia TeslaCrypt, compresa l’ultima versione che abbiamo descritto in questo post, con la voce Trojan-Ransom.Win32.Bitman. I nostri utenti non corrono alcun pericolo.

Ecco qualche indicazione per contrastare questa e altre famiglie di ransomware:

  • Effettuare regolarmente il backup dei file più importanti. Le copie dei backup devono essere immagazzinate su dispositivi esterni che vanno scollegati immediatamente subito dopo il backup. Ques’ultimo passo è molto importante in quanto TeslaCrypt e altri tipi di malware cifrano i drive e le cartelle dei dispositivi collegati al computer infetto, così come l’hard disk locale.
  • Aggiornare sempre i software dei programmi installati, soprattutto quelli del browser web e relativi plugin.

 

Consigli