Aggiornamenti recenti Novembre 22nd, 2024 9:00 AM
Mar 01, 2017 Marco Schiaffino In evidenza, Malware, Minacce, News, Ransomware, RSS 2
Popolo di santi, navigatori e… aspiranti pirati informatici. Su questo ultimo aspetto, però, sembra che per gli italiani ci sia da ancora da lavorare.
Un giudizio impietoso sui cyber-criminali di casa nostra arriva dai ricercatori di Sophos, che hanno individuato e analizzato un ransomware per sistemi Mac che, infatti, sembrerebbe essere stato messo a punto da programmatori italiani.
Se vogliamo rimanere aderenti alla retorica che vorrebbe classificare gli italiani come un popolo “creativo”, nel caso di Filecode le premesse ci sarebbero tutte.
Filecode è uno dei pochi ransomware che prendono di mira gli utenti Mac, che nell’ottica dei pirati sono tra le vittime più appetibili. Il motivo è sempre lo stesso: troppi aficionados della Mela hanno la cattiva abitudine di non usare un antivirus e contare solo sulla supposta “immunità” dei loro computer ai malware.
Le sufficienze in pagella per i pirati che stanno cercando di distribuire Filecode su Internet, però, finiscono qui. Tanto che, secondo i ricercatori che hanno studiato il malware, l’attacco ha buone probabilità di finire in una bolla di sapone a causa di una grossolana approssimazione da parte dei cyber-criminali in questione.
Gli autori di Filecode, infatti, non stanno utilizzando Exploit Kit o campagne di phishing per diffondere il ransomware, ma hanno avviato una campagna di distribuzione che si basa esclusivamente sulla distribuzione del malware attraverso siti Internet che propongono crack per software commerciali.
Una tecnica che offre indubbiamente dei vantaggi (l’installazione del malware riceve il consenso dell’utente senza troppi problemi) ma che difficilmente potrà coinvolgere un gran numero di utenti.
I ricercatori hanno individuato tre versioni del ransomware. Due di queste sono “travestite” da crack per Adobe Premiere e Office, mentre una terza si chiama semplicemente “Prova” e sembra una sorta di beta del malware. Abbastanza, però, per attribuirne la creazione a programmatori italiani.
Se la strategia di diffusione non è particolarmente efficace, le caratteristiche tecniche del ransomware sembrano essere ancora peggiori.
Secondo i ricercatori di Sophos, infatti, Filecode sconta numerosi difetti. Prima di tutto il ransomware usa alcuni strumenti del sistema operativo per individuare i file dell’utente e crittografarli. Peccato lo faccia in maniera approssimativa, con il risultato che la crittografia dei documenti ha buone possibilità di interrompersi dopo poco.
Non solo: anche il sistema di crittografia, che dovrebbe rendere inaccessibili i dati al legittimo proprietario e indurlo a pagare un riscatto per ottenere la chiave crittografica con cui decodificare i dati, è decisamente “debole”.
Gli autori di Filecode non hanno infatti utilizzato un sistema di crittografia “forte” per blindare i file, ma hanno scelto una procedura piuttosto banale, che sfrutta gli archivi compressi protetti da password.
Il ransomware, in pratica, crea una copia compressa (e crittografata) di tutti i file che trova e cancella gli originali, usando i comandi di Mac OS X.
I file ZIP creati dal ransomware sono protetti da una password di 25 caratteri generata automaticamente da Filecode. Questo significa, in primo luogo, che tutti i file presi in ostaggio sono protetti dalla stessa password. Trovata questa, i file possono essere recuperati.
In teoria, per ottenere la password le vittime dovrebbero eseguire un pagamento di 0,25 Bitcoin (circa 300 euro) mettendosi in contatto con i pirati attraverso uno specifico indirizzo email. Gli stessi criminali, poi, garantirebbero la restituzione dei file entro 24 ore attraverso un sistema di controllo remoto riguardo il quale non forniscono maggiori dettagli.
La procedura può essere accelerata pagando un riscatto superiore (circa 500 euro) che permetterebbe di ottenere la restituzione dei file in 10 minuti.
Stando a quanto scrivono i ricercatori di SOphos, però, è molto probabile che la stessa proposta di restituzione dei file sia una truffa. Dalle loro analisi del malware, infatti, non risulta che a password sia memorizzata nel codice del ransomware o inviata in qualche modo ai suoi autori.
Insomma: è molto probabile che nemmeno loro abbiano il codice per decodificare i file e che le vittime che decidono di pagare il riscatto finiscano per non ottenere nulla. A meno che, in seguito al pagamento, gli scalcagnati pirati non si limitino a eseguire il crack dei file ZIP.
I test dei ricercatori Sophos, infatti, hanno verificato che gli archivi compressi possono essere decodificati utilizzando PKCRACK (scaricabile da qui) in appena 42 secondi. L’unico prerequisito è quello di avere a disposizione una copia integra di uno dei file crittografati.
Chi dovesse rimanere vittima di Filecode, quindi, può riottenere tutti i suoi file in una manciata di minuti attraverso un software gratuito.
Nov 19, 2024 0
Nov 11, 2024 0
Nov 06, 2024 0
Ott 28, 2024 0
Nov 22, 2024 0
Nov 21, 2024 0
Nov 21, 2024 0
Nov 20, 2024 0
Nov 22, 2024 0
Secondo una ricerca di F5 Labs, gli attacchi DDoS sono...Nov 21, 2024 0
Google ha annunciato di aver trovato 26 nuove...Nov 14, 2024 0
L’FBI ha lanciato un allarme: stando a un avviso...Nov 13, 2024 0
I ricercatori di Securonix hanno scoperto CRON#TRAP, una...Nov 12, 2024 0
Le minacce APT sono in aumento e in molti casi stanno...Ott 09, 2024 0
Negli ultimi anni sempre più aziende stanno sottoscrivendo...Ott 02, 2024 0
Grazie al machine learning, il Global Research and Analysis...Set 30, 2024 0
Il 2024 è l’anno delle nuove normative di sicurezza:...Mag 21, 2024 0
Una delle sfide principali delle aziende distribuite sul...Mag 08, 2024 0
L’ultimo non è stato un buon anno per Microsoft:...Nov 22, 2024 0
Secondo una ricerca di F5 Labs, gli attacchi DDoS sono...Nov 21, 2024 0
Playlist e podcast sono l’esca ideale per attirare ignari...Nov 21, 2024 0
Google ha annunciato di aver trovato 26 nuove...Nov 20, 2024 0
Una campagna di spionaggio a opera di hacker cinesi ha...Nov 19, 2024 0
I ricercatori di Sekoia hanno individuato una nuova...
2 thoughts on “Filecode: il ransomware “Made in Italy” per Mac è un disastro”