Aggiornamenti recenti Novembre 21st, 2024 8:55 PM
partner
News Recenti
- Transparency Center Initiative di Kaspersky Lab: cosa significa per l’Italia
- Come playlist e podcast su Spotify promuovono software pirata
- Google scopre 26 nuove vulnerabilità con l’IA di OSS-Fuzz
- Una grave data breach ha colpito le aziende statunitensi di telecomunicazioni
- Scoperta una nuova variante del ransomware Helldown che colpisce Linux
- Una vulnerabilità di un plugin di WordPress mette a rischio più di 4 milioni di siti
Filecode: il ransomware “Made in Italy” per Mac è un disastro
Il malware è stato distribuito attraverso siti che promettono il crack di noti software per Mac. Sophos: “i file si recuperano in 42 secondi”.
Popolo di santi, navigatori e… aspiranti pirati informatici. Su questo ultimo aspetto, però, sembra che per gli italiani ci sia da ancora da lavorare.
Un giudizio impietoso sui cyber-criminali di casa nostra arriva dai ricercatori di Sophos, che hanno individuato e analizzato un ransomware per sistemi Mac che, infatti, sembrerebbe essere stato messo a punto da programmatori italiani.
Se vogliamo rimanere aderenti alla retorica che vorrebbe classificare gli italiani come un popolo “creativo”, nel caso di Filecode le premesse ci sarebbero tutte.
Filecode è uno dei pochi ransomware che prendono di mira gli utenti Mac, che nell’ottica dei pirati sono tra le vittime più appetibili. Il motivo è sempre lo stesso: troppi aficionados della Mela hanno la cattiva abitudine di non usare un antivirus e contare solo sulla supposta “immunità” dei loro computer ai malware.
Le sufficienze in pagella per i pirati che stanno cercando di distribuire Filecode su Internet, però, finiscono qui. Tanto che, secondo i ricercatori che hanno studiato il malware, l’attacco ha buone probabilità di finire in una bolla di sapone a causa di una grossolana approssimazione da parte dei cyber-criminali in questione.
Gli autori di Filecode, infatti, non stanno utilizzando Exploit Kit o campagne di phishing per diffondere il ransomware, ma hanno avviato una campagna di distribuzione che si basa esclusivamente sulla distribuzione del malware attraverso siti Internet che propongono crack per software commerciali.
Una tecnica che offre indubbiamente dei vantaggi (l’installazione del malware riceve il consenso dell’utente senza troppi problemi) ma che difficilmente potrà coinvolgere un gran numero di utenti.
I ricercatori hanno individuato tre versioni del ransomware. Due di queste sono “travestite” da crack per Adobe Premiere e Office, mentre una terza si chiama semplicemente “Prova” e sembra una sorta di beta del malware. Abbastanza, però, per attribuirne la creazione a programmatori italiani.
Il fatto che una delle versioni sia chiamata “Prova” è un indizio sufficiente per attribuire la creazione del malware a un gruppo italiano.
Se la strategia di diffusione non è particolarmente efficace, le caratteristiche tecniche del ransomware sembrano essere ancora peggiori.
Secondo i ricercatori di Sophos, infatti, Filecode sconta numerosi difetti. Prima di tutto il ransomware usa alcuni strumenti del sistema operativo per individuare i file dell’utente e crittografarli. Peccato lo faccia in maniera approssimativa, con il risultato che la crittografia dei documenti ha buone possibilità di interrompersi dopo poco.
Non solo: anche il sistema di crittografia, che dovrebbe rendere inaccessibili i dati al legittimo proprietario e indurlo a pagare un riscatto per ottenere la chiave crittografica con cui decodificare i dati, è decisamente “debole”.
Gli autori di Filecode non hanno infatti utilizzato un sistema di crittografia “forte” per blindare i file, ma hanno scelto una procedura piuttosto banale, che sfrutta gli archivi compressi protetti da password.
Il ransomware, in pratica, crea una copia compressa (e crittografata) di tutti i file che trova e cancella gli originali, usando i comandi di Mac OS X.
I file ZIP creati dal ransomware sono protetti da una password di 25 caratteri generata automaticamente da Filecode. Questo significa, in primo luogo, che tutti i file presi in ostaggio sono protetti dalla stessa password. Trovata questa, i file possono essere recuperati.
In teoria, per ottenere la password le vittime dovrebbero eseguire un pagamento di 0,25 Bitcoin (circa 300 euro) mettendosi in contatto con i pirati attraverso uno specifico indirizzo email. Gli stessi criminali, poi, garantirebbero la restituzione dei file entro 24 ore attraverso un sistema di controllo remoto riguardo il quale non forniscono maggiori dettagli.
La procedura può essere accelerata pagando un riscatto superiore (circa 500 euro) che permetterebbe di ottenere la restituzione dei file in 10 minuti.
Stando a quanto scrivono i ricercatori di SOphos, però, è molto probabile che la stessa proposta di restituzione dei file sia una truffa. Dalle loro analisi del malware, infatti, non risulta che a password sia memorizzata nel codice del ransomware o inviata in qualche modo ai suoi autori.
Insomma: è molto probabile che nemmeno loro abbiano il codice per decodificare i file e che le vittime che decidono di pagare il riscatto finiscano per non ottenere nulla. A meno che, in seguito al pagamento, gli scalcagnati pirati non si limitino a eseguire il crack dei file ZIP.
I test dei ricercatori Sophos, infatti, hanno verificato che gli archivi compressi possono essere decodificati utilizzando PKCRACK (scaricabile da qui) in appena 42 secondi. L’unico prerequisito è quello di avere a disposizione una copia integra di uno dei file crittografati.
Chi dovesse rimanere vittima di Filecode, quindi, può riottenere tutti i suoi file in una manciata di minuti attraverso un software gratuito.
Condividi l'articolo
Il trojan Dridex ora si diffonde con l’attacco “AtomBombing”
Estensione PGP per Gmail: ora E2EMail è open source
Articoli correlati
Altro in questa categoria
Approfondimenti
-
Google scopre 26 nuove vulnerabilità con l’IA di... Google ha annunciato di aver trovato 26 nuove... -
Aumentano le compromissioni di account email delle forze... L’FBI ha lanciato un allarme: stando a un avviso... -
Scoperta CRON#TRAP, campagna che emula ambienti Linux per... I ricercatori di Securonix hanno scoperto CRON#TRAP, una... -
Report APT ESET: i gruppi filo-cinesi e iraniani... Le minacce APT sono in aumento e in molti casi stanno... -
Kaspersky ha collaborato a Synergia II, operazione... Kaspersky ha collaborato a Synergia II, operazione...
Minacce recenti
Off topic
-
Cyberinsurance: misurare il rischio umano può... Negli ultimi anni sempre più aziende stanno sottoscrivendo... -
Il machine learning di Kaspersky aumenta la capacità di... Grazie al machine learning, il Global Research and Analysis... -
I vertici aziendali non sono del tutto pronti alle nuove... Il 2024 è l’anno delle nuove normative di sicurezza:... -
Più della meta delle aziende geo-distribuite ha problemi... Una delle sfide principali delle aziende distribuite sul... -
In Microsoft le paghe dei manager dipenderanno dal livello... L’ultimo non è stato un buon anno per Microsoft:...
Post recenti
-
Come playlist e podcast su Spotify promuovono software... Playlist e podcast sono l’esca ideale per attirare ignari... -
Google scopre 26 nuove vulnerabilità con l’IA di... Google ha annunciato di aver trovato 26 nuove...
-
Una grave data breach ha colpito le aziende statunitensi di... Una campagna di spionaggio a opera di hacker cinesi ha... -
Scoperta una nuova variante del ransomware Helldown che... I ricercatori di Sekoia hanno individuato una nuova... -
Una vulnerabilità di un plugin di WordPress mette a... István Márton, ricercatore di Wordfence, ha individuato...
Ransomware: la serie
No posts found.
2 thoughts on “Filecode: il ransomware “Made in Italy” per Mac è un disastro”