I ransomware di oggi usano TOR

24 Lug 2014

Sicuramente molti di voi, specialmente coloro che ci seguono assiduamente, saranno al corrente sugli ultimi metodi e attacchi dei cybercriminali. Tra le ultime tipologie di malware si annoverano alcuni speciali tipi di ransomware, noti come encrypting ransomware, ovvero malware e Trojan di tipo crittografico. Questi ransomware non cercano di nascondersi ma attraverso un locker, criptano i documenti degli utenti con una forte criptografia e chiedono a cambio della decrittazione un riscatto. Il Cryptolocker e il CryptoWall sono due minacce che appartengono a questa famiglia di malware. Sfortunatamente, questo attacco criminale è molto afficace; è tra i più nuovi, forti e funzionali encrypting Trojan in circolazione. Oggi vi mettiamo in guardia da un particolare ransomware appartenente a questa famiglia: Onion (anche noto come CTB-Locker, Onion Locker o Onion Encryptor), un malware che usa la rete anonima TOR (The Onion Router) e il sistema Bitcoin per proteggere i criminali, i loro fondi e le chiavi dei file delle vittime dalle forze dell’ordine.

Usando TOR, sarà più difficile tracciare l’attività criminale e prendere il controllo dei server dannosi; se a questo aggiungiamo l’uso del sistema bitcoin, la nota valuta virtuale famosa per le sue esclusive forme di pagamento, sarà complicato persino tracciare il trasferimento di denaro. Cosa significa tutto questo per i comuni utenti? I criminali continueranno ad usare questo malware per molto tempo. Attualmente si sta vendendo nel mercato nero dei forum e sta attirando l’attenzione di molti entità internazionali. Per questo motivo, ci aspettiamo nuove infezioni, soprautto negli USA, nel Regno Unito e in quei paese dove il “mercato” dei ransomware è florido.

L’Onion Locker è un malware molto sofisticato che agisce silenziosamente fino a quando tutti i documenti della vittima non saranno stati completamente criptati. Solo allora caricherà le informazioni della vittima e le relative chiavi, le invierà via TOR ai suoi server e farà apparire sullo schermo dell’utente un conto alla rovescia. Se la vittima non paga il riscatto (0,2/0,5 bitcoin, circa 120-350 dollari) entro le 72 ore, tutti i file e le relative chiavi per decrittarli andranno perduti per sempre. I criminali, furbescamente, offrono istruzioni minuziose su come comprare Bitcoin e gestire la valuta virtuale.

“Nascondere i server C&C nelle rete anonima TOR rende difficile rintracciare i cybercriminali; l’utilizzo di una crittografia poco ortodossa rende impossibile la decrittazione dei file anche quando il traffico viene intercettato tra il Trojan e il server. Per tutte queste ragione si tratta di un malware molto pericoloso, una delle minacce di tipo crittografico tecnologicamente più avanzate ora in circolazione” avverte Fedor Sinitsyn, Senior Malware Analyst di Kaspersky Lab.

Il malware è al momento distribuito mediante i classici canali criminali. In genere funziona così: una pagina web con kit exploit avvia lo scaricamente di un Trojan sul computer della vittima, poi questo Trojan scarica l’Onion encryptor. Per maggiori informazioni vi consigliamo di leggere l’articolo di Securelist (articolo in inglese).

Evitate l’Onion Locker e altri tipi di malware di tipo crittografico

Per prevenire le infezioni, vi raccomandiamo di aggiornare tutti i programmi, in particolare i componenti più critici: il sistema operativo, il browser e tutti gli add-on (media player, Java, lettori PDF, ecc.). Inoltre, è fondamentale usare una soluzione antivirus di ultima generazione. La nuova versione di Kaspersky Internet Security (in uscita a breve anche in Italia) dispone di specifiche tecnologie anti-ransomware.

Per prevenire grossi danni, sia nel caso di attacchi ransomware che di semplici furti di dati, consigliamo sempre di realizzare backup regolari e salvare i dati su dispositivi removibili sicuri.