Aggiornamenti recenti Novembre 22nd, 2024 9:00 AM
Gen 18, 2017 Marco Schiaffino Malware, Minacce, News, Ransomware, RSS 0
Non è la prima volta che assistiamo a strategie di marketing applicate alla pirateria informatica, ma gli autori di Spora sono senza dubbio i primi ad adottare una tecnica di “segmentazione dell’offerta”, per lo meno nel settore dei ransomware.
Il malware, analizzato da Emsisoft, non si limita a chiedere il classico riscatto ma consente alla vittima di scegliere tra diverse opzioni.
È possibile scegliere un Full Restore del sistema (l’opzione più costosa) ma anche ottenere la semplice rimozione del malware o il recupero limitato ad alcuni file.
La logica è quella di permettere alla vittima di trovare la formula più soddisfacente per le sue esigenze, proprio come farebbe una qualsiasi azienda fornitrice di servizi.
Chi ha un backup completo dei file presi in ostaggio dal ransomware, per esempio, sarà difficilmente disposto a sborsare il massimo, ma potrebbe rassegnarsi a pagare una cifra inferiore (per esempio 20 dollari) per rimuovere il malware dal computer.
L’offerta comprende anche la voce “Immunity”, con la quale la vittima otterrebbe la garanza (sigh) di non finire più nel mirino dei pirati. Il sistema di pagamento prevede anche la possibilità di decodificare gratis una manciata di file, come forma di assicurazione nei confronti della vittima per convincerla dell’efficacia del servizio.
L’importo richiesto, infine, cambia a seconda del numero di file presi in ostaggio. La logica è semplice: l’amministratore IT che si è visto crittografare decine di Terabyte di dati sarà disposto a spendere di più rispetto all’utente casalingo a cui sono state “rapite” le foto delle vacanze.
Oltre a un sistema di pagamento decisamente articolato (il sito Web a cui la vittima si collega ha anche una sezione dedicata al supporto), Spora ha anche caratteristiche tecniche molto particolari che lo differenziano dai numerosi “colleghi” in circolazione.
A differenza della maggior parte dei ransomware, il processo di crittografia dei file di Spora avviene offline e, di conseguenza, non c’è nessun indizio della sua attività che possa essere rilevato attraverso l’individuazione di traffico anomalo.
Per cifrare i file, il ransomware usa un mix di RSA e AES, utilizzando le CryptoAPI di Windows. Inoltre, Spora al momento della cifratura dei file crea un file che contiene la chiave privata abbinata alla vittima e che consente di identificarla quando si collega al portale per il pagamento.
In definitiva, i file vengono cifrati usando diverse chiavi e, secondo i ricercatori di Emsisoft, per il momento non c’è alcun modo per decodificarli senza pagare il riscatto.
Il ransomware viene distribuito attraverso una campagna di spam ed è contenuto in un allegato in formato HTA, ma “camuffato” con il classico trucco della doppia estensione (nomefile.PDF.HTA) in modo che sui sistemi Windows in cui è attiva la funzione che nasconde l’estensione per i file conosciuti possa essere scambiato per un semplice PDF.
Per il momento il malware è stato distribuito solo in paesi di lingua russa, ma alcuni elementi del suo codice (come la registrazione di statistiche riguardanti il numero di file crittografati e l’importo richiesto) fanno pensare che i suoi autori lo stiano proponendo nella modalità di affiliazione “ransomware as a service” già vista in altri casi. Non è escluso, quindi, che in futuro il ransomware faccia la sua comparsa anche in altre aree geografiche.
Nov 19, 2024 0
Nov 11, 2024 0
Nov 06, 2024 0
Ott 28, 2024 0
Nov 22, 2024 0
Nov 21, 2024 0
Nov 21, 2024 0
Nov 20, 2024 0
Nov 22, 2024 0
Secondo una ricerca di F5 Labs, gli attacchi DDoS sono...Nov 21, 2024 0
Google ha annunciato di aver trovato 26 nuove...Nov 14, 2024 0
L’FBI ha lanciato un allarme: stando a un avviso...Nov 13, 2024 0
I ricercatori di Securonix hanno scoperto CRON#TRAP, una...Nov 12, 2024 0
Le minacce APT sono in aumento e in molti casi stanno...Ott 09, 2024 0
Negli ultimi anni sempre più aziende stanno sottoscrivendo...Ott 02, 2024 0
Grazie al machine learning, il Global Research and Analysis...Set 30, 2024 0
Il 2024 è l’anno delle nuove normative di sicurezza:...Mag 21, 2024 0
Una delle sfide principali delle aziende distribuite sul...Mag 08, 2024 0
L’ultimo non è stato un buon anno per Microsoft:...Nov 22, 2024 0
Secondo una ricerca di F5 Labs, gli attacchi DDoS sono...Nov 21, 2024 0
Playlist e podcast sono l’esca ideale per attirare ignari...Nov 21, 2024 0
Google ha annunciato di aver trovato 26 nuove...Nov 20, 2024 0
Una campagna di spionaggio a opera di hacker cinesi ha...Nov 19, 2024 0
I ricercatori di Sekoia hanno individuato una nuova...