Lo sviluppo dei malware e i nostri tentativi di combatterli a volte ci fanno pensare a una lunga serie TV: si può individuare come i “personaggi” acquisiscano nuove capacità, superino le difficoltà e facciano nuove conquiste. Adesso sembra sia uscita la terza stagione della serie di TeslaCrypt.
Si è parlato per la prima volta di TeslaCrypt a febbraio del 2015, quando questo Trojan compromise i PC di alcuni gruppi di giocatori online criptando i loro file. Furono chiesti circa 500 dollari per restituire i dati ai proprietari.
L’inedito Trojan venne creato sulla base di un altro pericoloso ransomware chiamato CryptoLocker. Allora i criminali usarono un algoritmo criptografico relativamente debole, che poteva essere violato. Il Trojan archiviò le chiavi di criptaggio in un file separato sul disco rigido della vittima, così da poterle trovare senza fatica. Alla fine gli utenti del forum BleepingComputer crearono il software Tesla Decoder, che aiutava le vittime a decriptare i propri file senza alcun riscatto.
https://twitter.com/bitcoinfirehose/status/601424147588218880
Fantastico, se solo la prima stagione fosse stata un flop e la serie si fosse conclusa. Ma i cyercriminali hanno creato un’espansione e rilasciato TeslaCrypt 2.0, una versione aggiornata rilevata da Kaspersky Lab a luglio del 2015. Questa versione si serve di uno schema criptografico di gran lunga migliorato, che è ancora impossibile violare. Inoltre, i malware aggiornati non archiviano le chiavi su un file separato, usano invece il registro di sistema.
#news #gaming TeslaCrypt 2.0 ransomware: stronger and more dangerous https://t.co/agvUXU5J5t pic.twitter.com/rIZ1XqfHw6
— Kaspersky (@kaspersky) July 14, 2015
Le vittime che hanno in qualche modo trovato le chiavi, possono ancora usare il TeslaDecoder per recuperare i loro file. Ma senza una chiave questo utile software non apporta alcun aiuto.
Recentemente, c’è stata una nuova “stagione” epidemica. TeslaCrypt 2.2.0 è entrato a sinistra del palco. In questo momento, una campagna dannosa via mail è al suo culmine: utenti da ogni parte del mondo ricevono notifiche di pagamenti falsi. Le persone raggirate installano l’exploit kit Angler, che scarica la nuova versione di TeslaCrypt. Un sacco di utenti aziendali inciampano in queste email false, poiché è abbastanza comune per quasi tutti gli impiegati dimenticare una fattura tra le altre migliaia.
#HowTo: Open Unknown Attachments http://t.co/nW1DrX9CNr #security #antivirus
— Kaspersky (@kaspersky) May 21, 2014
Inoltre, i cybercriminali hanno lanciato una campagna su larga scala per infettare i siti WordPress, compreso il blog del quotidiano britannico The Independent. Angler è da considerare ancora una volta il responsabile di questo incidente. L’exploit ha scaricato o TeslaCrypt o un altro Trojan chiamato BEDEP, che a sua volta ha scaricato il famigerato CryptoLocker.
Secondo Trend Micro, il blog è stato infettato il 21 novembre. I dipendenti hanno risolto il problema e di recente, il 9 dicembre, hanno reindirizzato gli utenti alla pagina principale del quotidiano.
I portavoce di The Indipendent hanno dichiarato che solo in pochi hanno visitato la pagina infetta poiché era molto vecchia e che non c’erano segnali che qualcuno potesse essere stato infettato dal Trojan sul loro sito. Detto ciò, il numero totale di utenti che sono stati indirizzati alla pagina con il Trojan ha superato i 4000 al giorno. Se i visitatori non avessero avuto degli aggiornamenti Adobe Flash recenti, Angler avrebbe potuto servirsi delle vulnerabilità e infettare i loro sistemi.
News with a side of #ransomware —“The Independent” blog hacked, leads to TeslaCrypt: https://t.co/4kFz0JPv9Y
— Trend Micro (@TrendMicro) December 9, 2015
Stavolta i cybercriminali hanno cambiato il loro bersaglio, e hanno mirato non a utenti domestici ma ad aziende. Secondo Heimdal Security, i nuovi ransomware terrorizzano le corporation europee. Abbiamo anche individuato un’enorme espansione di attività in Giappone. Inoltre è impossibile dire quale sarà il prossimo paese a essere colpito.
Se volete proteggervi dal ransomware o almeno diminuire il danno potenziale, vi raccomandiamo caldamente di seguire questi consigli.
#Ransomware is #digital #extortion – tips to avoid falling victim to it https://t.co/HoCO7kXuhX #itsec pic.twitter.com/PkYl8QXscU
— Kaspersky (@kaspersky) December 9, 2015
1. Usate soluzioni di sicurezza aggiornate. Per esempio, Kaspersky Internet Security e Kaspersky Total Security hanno integrato il modulo System Watcher che impedisce ai ransomware di criptare i dati, rendendo quindi gli utenti invulnerabili al TeslaCrypt.
2. Installate sempre software aggiornati. Vari bug e vulnerabilità si trovano spesso nei pacchetti di software di produttività personale, browsers e Adobe Flash. Aggiornamenti e patch che “riparano” i buchi nella sicurezza, inoltre, sono rilasciati con regolarità. Gli aggiornamenti recenti aumentano la vostra sicurezza.
3. Fate regolari backup. Per esempio, Kaspersky Total Security può minimizzare gli sforzi necessari per farlo. Anche se tutte le misure di sicurezza risultassero infruttuose e il vostro sistema venisse infettato, sarete in grado di pulirlo con l’aiuto dell’antivirus e di recuperare i file dai backup.
Kaspersky Total Security Review: Full-featured #parentalcontrol, #firewall, and backup http://t.co/B1RxogW5Lx via @PCMag
— Kaspersky (@kaspersky) February 6, 2015
Se cadete vittime dei ransomware, chi sta cercando di risolvere il problema, ci dispiace dire che non esiste un trattamento universale. Se avete una chiave, potete utilizzare il già menzionato TeslaDecoder o un tool similare fornito da Cisco.
Senza una chiave è quasi impossibile fare qualcosa. Tuttavia, è altamente raccomandato non pagare il riscatto, se possibile. Se la gente non paga, il business dei ransomware non sarà proficuo e i cybercriminali saranno meno motivati a rilasciare la prossima stagione della serie dei ransomware.