Il ransomware CTB-Locker infetta 70 web server

Come molti squali del mondo degli affari, anche i cybercriminali sono in costante ricerca di nuovi mercati e di nuovi “clienti”. Realizzano prove, cambiano i bersagli dei loro attacchi, tutto questo per ottenere facili guadagni. Questo è esattamente quello che abbiamo osservato in relazione all’ultima versione di CTB-Locker.

Questa famiglia ransomware è piuttosto intelligente: per esempio, utilizzava la rete anonima Tor per nascondersi dagli esperti di sicurezza e accettava solo pagamenti in Bitcoin che, come è noto, non sono tracciabili.

The best line of #defense against any #ransomware is to have backed up your machines yesterday. https://t.co/cpcBqX1Qy2

— Kaspersky Lab (@kaspersky) January 30, 2015

Ci sono però anche delle buone notizie, buone per gli utenti, ma brutte per le aziende: il nuovo CTB-locker attacca solo i web server. Mentre i ransomware tradizionali criptano i file degli utenti, questa particolare evoluzione cripta solo i dati che si trovano sul root del server. Senza questi file, un sito web non esiste.

I criminali riescono a estorcere un riscatto pari a 150 $ (esattamente 0,4 bitcoin). Se la vittima non paga in tempo, il prezzo di duplica.

I ladri inoltre rimpiazzano anche la pagina principale del sito web hackerato con un messaggio nel quale spiegano, nei minimi dettagli, quello che è successo, quando e come i soldi dovranno essere trasferiti ed aggiungono persino un video tutorial per coloro che non sanno come comprare bitcoin ed offrono di decrittare due file casuali per dimostrare la loro “onestà”. La vittima può addirittura chattare con gli hacker usando un codice speciale, disponibile solo per le vittime.

Per quanto ne sappiamo, il nuovo CTB-Locker ha già criptato i dati di più di 70 server localizzati in 10 paesi; la zona più colpita sono gli Stati Uniti (e ciò non ci sorprende).

Il ransomware CTB-locker è una vera e propria piaga di Internet dato che non esistono ancora strumenti di decrittazione che possono aiutare le vittime. Al momento l’unico modo per riavere indietro i soldi è pagare il riscatto.

Non sappiamo ancora per quanto tempo, il CTB-Locker verrà utilizzato per attaccare i web server, ma stiamo osservando una cosa comune: la maggior parte delle vittime usa la piattaforma WordPress. Ecco perché raccomandiamo caldamente di:

• aggiornare regolarmente WordPress dato che le versioni non aggiornate contengono un sacco di vulnerabilità;
• fare molta attenzione ai plugin non originali progettati da terze parti: queste estensioni possono essere molto utili, ma solo quando vengono create da sviluppatori affidabili e seri;
• realizzare sempre frequenti backup dei dati più importanti;
• fare attenzione alle email di phishing;
• non credere alle offerte incredibili che appaiono online e incoraggiano a installare un software di qualsiasi tipo (per esempio, per web analytics).

10 tips to protect your files from ransomware https://t.co/o0IpUU9CHb #iteducation pic.twitter.com/I47sPIiWFF

— Kaspersky Lab (@kaspersky) November 30, 2015

Nonostante questa particolare versione del ransomware attacchi solo i siti web, ci sono un sacco di altri malware con funzionalità crittografiche che attaccano i vostri file personali. Agli utenti di computer fissi consigliamo di installare un’affidabile soluzione di sicurezza, realizzare frequenti backup e evitare il phishing, dato che oggigiorno è la forma più popolare per distribuzione qualsiasi tipo di programma dannoso, tra cui anche i ransomware.