Il malware GandCrab è tornato, anche se in una versione più romantica

5 Mar 2019

“Abbiamo hackerato la tua webcam e ti abbiamo beccato mentre guardavi del porno. Abbiamo anche cifrato i tuoi dati e a cambio vogliamo un riscatto”. Probabilmente ricorderete che l’anno scorso questa tecnica di ricatto ha avuto un grande successo. Le voci che il ransomware alle spalle di questo tipo di estorsione sia sulla via del tramonto non sembrano essere affatto fondate.

Il ransomware GandCrab è tornato ed è più attivo che mai. I suoi sviluppatori stanno lanciando continuamente nuove versioni per non perdere quella grande fetta di mercato che si sono conquistati con tanta fatica, ovvero circa il 40% dell’intero “settore” dei ransomware. Anche i cybercriminali che utilizzano e diffondono GandCrab si mantengono aggiornati, optando per tattiche diversificate, creative e a volte anche romantiche.

Il ransomware per i più sentimentali

I messaggi che contengono dichiarazioni d’amore possono essere molto lusinghieri, ma e-mail che hanno come oggetto “La mia lettera d’amore per te”, “Mi sono innamorato di te” “Ecco cosa penso di te” presagiscono un disastro. Qualche giorno prima di date clou come San Valentino, Natale, vigilia di Capodanno, Anno Nuovo, il giorno del vostro compleanno o, perché no, anche un noioso lunedì, un messaggio di questo tipo potrebbe anche non destare alcun tipo di allarme. Ma, come accade per ogni e-mail, non bisogna mai abbassare la guardia.

La variante più comune di e-mail dannosa che circola in questi giorni ha come oggetto una frase romantica, un cuore nel corpo del messaggio e un allegato, un file ZIP che di solito si chiama Love_You più altre lettere o numeri. Se si estrae e si esegue il file JavaScript che contiene, verrà scaricato il ransomware GandCrab.

Verrete reindirizzati a una nota in cui vi si informa che tutti i dati sul vostro computer sono stati cifrati e dovrete pagare un riscatto (probabilmente in bitcoin) affinché torni tutto alla normalità. Se non sapete come ottenere le criptomonete, il gruppo che ha organizzato l’attacco offre anche una finestra per chattare in diretta dove vi spiegheranno come acquistare la somma in criptomonete necessaria e pagare così il riscatto.

Il ransomware degli affari

Nel 2017, è stata pubblicata una patch che risolveva la vulnerabilità presente in un tool rivolto a compagnie IT per sincronizzare i dati tra due sistemi di gestione. Non tutti hanno installato la patch e ora, nel 2019, GandCrab sta colpendo proprio questi utenti distratti, cifrando tutti i computer possibili.

La falla nella sicurezza ha permesso ai cybercriminali di creare nuovi account amministratore, dai quali inviare comandi per installare il ransomware sugli endpoint gestiti. In altre parole, sono riusciti a cifrare i dispositivi dei clienti della compagnia attaccata per poi richiedere un riscatto (sempre in criptomonete).

Il ransomware rivolto a persone responsabili (ovvero tutti)

Quanti di noi aprirebbero un allegato e-mail che in teoria riguarda una piantina delle uscite di emergenza dell’edificio in cui lavoriamo? Anche se l’e-mail proviene da un indirizzo completamente sconosciuto? Probabilmente tutti noi perché, alla fine dei conti, non sempre ricordiamo il nome dei responsabili della sicurezza.

I cybercriminali hanno iniziato a sfruttare questa opportunità, inviando e-mail dannose con un file Word in allegato. Chi lo apre vede solo il nome del documento del tipo “Piano uscite d’emergenza” e il tasto Attiva contenuto. Cliccando su questa opzione, installerete il ransomware GandCrab.

Il ransomware per chi deve effettuare un pagamento

In un’altra situazione, l’e-mail somiglia a una fattura o a una conferma di pagamento che può essere scaricata via WeTransfer. Il link porta a un file ZIP o, a volte, a un file RAR e per aprirlo bisogna utilizzare una password. Indovinate cosa si trova all’interno.

Il ransomware per noi italiani

Un’ulteriore variante passa attraverso una “notifica di pagamento” in formato di file Excel. Se si prova ad aprire l’allegato si aprirà una finestra dove si avvisa che non è possibile ottenere l’anteprima online e si suggerisce di cliccare su Attiva modifiche e Attiva contenuto per visualizzare il documento.

È curioso, questo attacco colpisce solo noi italiani (o almeno per il momento). Cliccando sui tasti indicati, si attiva uno script che verifica se il computer si trova in Italia, affidandosi alla lingua installata per il sistema operativo.

Se non è questo il caso, non succede nulla di strano. Ma se invece ci riguarda, verificherete di persona il senso dell’umorismo dei cybercriminali, perché vi comparirà un’immagine di Super Mario. Poco scontato…

Questa immagine di Super Mario contiene un codice dannoso che scarica un malware.

L’immagine, che viene scaricata quando si visualizza il contenuto del file, contiene un codice PowerShell dannoso che procede a scaricare il malware. Per il momento, i ricercatori non concordano sulla tipologia esatta di malware: può essere GandCrab (che cifra i dati) o Ursnif (che si appropria delle credenziali bancarie e degli account online). Francamente, non è che faccia molta differenza, è come viene inviato il malware che ci interessa anche se, come abbiamo visto, le tecniche evolvono costantemente.

Come evitare le diverse versioni di GrandCrab

GandCrab viene diffuso da varie persone, si tratta di un ransomware-as-a-service, sviluppato da un gruppo di cybercriminali e noleggiato da altri cybercriminali che provano a cifrare i dati del maggior numero di obiettivi possibili. Nonostante le differenze esistenti nelle metodologie di invio, possiamo comunque darvi qualche consiglio per proteggervi da GandCrab. E sono:

  • Quando ricevete un’e-mail inaspettata, accertatevi che il messaggio sia sicuro prima di aprire il messaggio, chiamando, ad esempio, il mittente;
  • Effettuate regolarmente un backup affidabile e testato dei vostri dati, da utilizzare in caso di emergenza;
  • Avvaletevi di una buona soluzione di sicurezza per evitare che i ransomware possano infettare il vostro dispositivo.

Queste misure dovrebbero essere sufficienti per non imbattervi mai in GandCrab. Tuttavia, se il vostro computer è già stato infettato, potete almeno contenere i danni:

  • Potreste riuscire a riavere indietro i file senza pagare, verificando sul sito del progetto No More Ransom se c’è il tool adeguato. Alcune versioni del ransomware GandCrab contengono delle falle che permettono di decifrare i file anche se, purtroppo, i tool non sono disponibili per tutte le versioni del ransomware;
  • Prima di scaricare e di avviare il tool per decifrare i dati, utilizzate una soluzione antivirus affidabile per rimuovere il ransomware dal dispositivo, altrimenti il malware bloccherà nuovamente il sistema o cifrerà nuovamente i file.