Sfida ai ricercatori: “provate a decifrare questo ransomware!”

Ott 14, 2016 Marco Schiaffino Malware, Minacce, News, Ransomware, RSS 0

Una vera sfida lanciata dagli autori del ransomware DXXD agli esperti di sicurezza attraverso un forum online. E il malware visualizza un messaggio a chiunque si colleghi a un server infetto.

La partita tra cyber-criminali ed esperti di sicurezza non si gioca solo sul piano tecnico, ma anche a livello psicologico. Di solito il campo di battaglia è favorevole ai pirati, che in passato non hanno perso occasione per mettere in ridicolo le società di sicurezza o ironizzare sulle loro capacità di contrastarne l’attività.

Con l’avvento dei crypto-ransomware, però, anche i “good guys” hanno avuto la possibilità di prendersi la loro rivincita. Ogni sistema di crittografia disinnescato (e sono molti) rappresenta infatti un vero smacco per i cyber-criminali, che possono sperimentare per una volta cosa significhi fare la figura dei polli.

Un bell’esempio di “duello” tra cyber-criminali ed esperti di sicurezza è quello relativo a DXXD, un ransomware usato da un gruppo di pirati che prendono di mira i server.

Il malware, comparso lo scorso 26 settembre, non ha avuto un esordio particolarmente brillante. Il sistema di crittografia che usa per “prendere in ostaggio” i file è stato infatti prontamente scardinato da Michael Gillespie, un ricercatore specializzato nella “caccia ai ransomware”.

L’autore di DXXD, però, non sembra intenzionato ad ammettere la sconfitta e ha messo a punto una nuova variante del malware sfidando pubblicamente i ricercatori con un post sul forum di Bleeping Computer.

L’annuncio di una nuova versione è arrivato direttamente su uno dei più frequentati forum di sicurezza.

Un comportamento piuttosto inusuale, che è però in linea con il “carattere” del pirata informatico in questione. L’autore di DXXD, infatti, ha già dimostrato in passato di avere uno spiccato gusto per la provocazione.

Il ransomware da lui creato non si limita infatti a crittografare tutti i file presenti sul server infetto visualizzando la classica richiesta di riscatto, ma utilizza un sistema che mostra un messaggio piuttosto sferzante, che compare sullo schermo di qualsiasi utente che si collega al server in questione.

Il messaggio, firmato con una certa ironia “Microsoft Windows Security Center” si legge “Caro amministratore, il tuo server è sotto attacco da parte di hacker”, invitandolo poi a contattare l’autore del ransomware a un indirizzo email.

Oltre al danno, la beffa di invitare l’amministratore del server a contattare “gli esperti” che hanno compromesso il sistema.

Stando a quanto riportato da Bleeping Computer, i ricercatori stanno già lavorando su un sample del ransomware nel tentativo di realizzare uno strumento per la decodifica dei file.

Il contatto con l’autore di DXXD ha permesso però ai moderatori del forum di mettere insieme almeno un tassello che permette di ricostruire il modus operandi del gruppo di cyber-criminali.

Stando a quanto scritto dal fantomatico autore di DXXD, gli attacchi ai server avverrebbero attraverso una nuova vulnerabilità 0-day che affliggerebbe i sistemi su piattaforma Windows.

Un’affermazione che, naturalmente, è tutta da verificare ma che potrebbe consentire di far luce sulle modalità di distribuzione del malware.

Condividi l'articolo