Esiste un nuovo ransomware che colpisce i gamer di circa 40 giochi online, con lo scopo di truffare gli utenti più giovani.
Il ransomware è un tipo di malware che colpisce e cripta i file degli utenti sui dispositivi infetti. Quando i file vengono criptati, i cybercriminali che controllano il malware chiedono il pagamento di una somma di denaro per consegnare la chiave privata che decifra i file.
A diffondere la notizia di questo malware è stato il forum Bleeping Computer che, oltre a dare sostegno e a informare gli utenti, sta diventando una fonte d’informazione affidabile circa nuovi encryptor e ransomware. Bleeping Computer ha deciso di chiamare questo nuovo ransomware TeslaCrypt, e l’azienda di sicurezza Bromium ha pubblicato un report indipendente sulla minaccia, identificata come una nuova variante di Cryptolocker. Bleeping Computer ha dato il merito a Fabian Wosar di Emsisoft per aver scoperto TeslaCrypt.
New #TeslaCrypt #Ransomware sets its scope on video gamershttp://t.co/u3cO8iMdp8 pic.twitter.com/rrhBG9HJ4x
— BleepingComputer (@BleepinComputer) February 27, 2015
Secondo Bleeping Computer, TeslaCrypt colpisce i file relazionabili con giochi e piattaforme di gaming come RPG Maker, League of Legends, Call of Duty, Dragon Age, StarCraft, MineCraft, World of Warcraft, World of Tanks e altri popolari giochi online. Si tratta di uno schema già utilizzato e che si concentra su documenti, foto, video e altri file standard presenti sui dispositivi degli utenti. Il ransomware sfrutta la crittografia AES per fare in modo che i giocatori non possano accedere ai file relazionati al gioco senza avere la chiave per decifrarli. Questa chiave può costare 500 dollari se si paga in Bitcoin o 1000 dollari se si paga con Pay Pal My Cash.
#CryptoLocker Variant Coming After Gamers – https://t.co/PpCEfk5bbL
— Threatpost (@threatpost) March 12, 2015
Se Bleeping Computer ha parlato per prima della notizia, Bromium ha aggiunto dettagli su come avviene la diffusione di TeslaCrypt. Senza eccessiva sorpresa, i cybercriminali inseriscono la minaccia all’interno dell’Exploit Kit Angler. Gli exploit kit sono essenzialmente pacchetti di software preconfezionati che hanno lo scopo di compromettere il sistema. In essi sono presenti exploit delle vulnerabilità di sicurezza comuni e, dal momento che quella dei software è una vera e propria industria, i cybercriminali possono pagare dei costi di licenza per accedervi.
Gli exploit kit consentono agli hacker di caricare malware sui dispositivi delle vittime. Per anni l’exploit kit più importante è stato BlackHole ma è caduto in disgrazia dopo l’arresto in Russia del suo sviluppatore. Nell’ultimo anno e mezzo, Angler è entrato in scena per colmare questo vuoto, e ha la capacità di integrare anche gli attacchi zero day di ultima generazione agli exploit delle vulnerabilità.
Il nuovo #ransomware #TeslaCrypt colpisce i #gamer
Tweet
Dopo l’infezione, il malware modifica lo sfondo del computer per mostrare all’utente un messaggio in cui viene informato che i suoi dati sono stati criptati. Il messaggio contiene istruzioni su come fare per acquistare la chiave privata e per decifrare i file. La procedura implica anche scaricare Tor Browser Bundle. Un particolare interessante: c’è un sito Internet di servizi nascosto dove gli utenti colpiti dal malware possono ricevere assistenza tecnica dai creatori del ransomware per effettuare il pagamento e decifrare i file. Nel messaggio è presente anche una scadenza, passata la quale la chiave privata viene distrutta e dopo sarà impossibile recuperare i file.
Il messaggio di ricatto agli utenti è simili a quello del ransomware Cryptolocker; per questo Bromiums ritiene che ci sia una connessione tra i due malware. Bromium ha fatto notare che le somiglianze sono minime, ma considera anche che TeslaCrypt stia sfruttando la scia di Cryptolocker.
Come sempre, noi di Kaspersky Lab per etica non possiamo consigliare di pagare per ottenere la chiave privata, perché ciò favorirebbe ancora di più questa attività illegale. Il modo migliore per difendersi da questo e da altri ransomware è effettuare regolarmente il backup dei dati. Un’altra opzione è l’uso di un buon prodotto antivirus, come ad esempio Kaspersky Internet Security o Kaspersky Total Security, quest’ultimo dotato della funzionalità System Watcher, specificamente progettata per difendere gli utenti dai cryptoware.
Naturalmente c’è bisogno anche di installare gli aggiornamenti del sistema operativo, del software, del browser e delle applicazioni. La maggior parte degli exploit kit colpisce vulnerabilità arcinote e per le quali sono state già pubblicate le patch.
Tip of the week: How to protect yourself from #cryptoware http://t.co/ZaxUdhnTp1 #security pic.twitter.com/3UsHF1bi38
— Kaspersky (@kaspersky) October 3, 2014
Lo abbiamo già detto e continueremo a dirlo: la cattiva notizia è che i crypto ransomware esistono ed esisteranno per molto tempo, per questo è necessario impiegare tempo e sforzi per proteggere i nostri dispositivi da queste minacce. Inoltre, a giudicare dalla presenza dell'”assistenza tecnica” e da altri particolari, sembra che la gente che ha creato questo nuovo ransomware ne sappia di business e di marketing. In poche parole, diventano sempre più bravi a infettare i dispositivi e a convincere gli utenti a pagare per riavere i file. Tutto questo ha luogo in un mondo dove si è costantemente connessi a Internet e attraverso i dispositivi più disparati. Il problema risiede proprio in questo particolare.