Zcryptor: il worm conquistatore

Analisti e ricercatori concordano che il 2016 sia l’anno in cui il ransomware è andato alla grande. I cybercriminali non ci hanno messo molto a riconoscere il potenziale valore dei cryptolocker e hanno prontamente incluso i ransomware ai loro arsenali. Per darvi un’idea della remuneratività, gli esperti di Cisco hanno riferito nel 2015 che un solo Angler exploit kit frutta ai cybercriminali oltre 60 milioni di dollari all’anno, ossia una media di 5 milioni di dollari al mese!

I soliti sospetti del moderno mercato del ransomware, Petya e il  suo amico Mischa, come pure il loro lontano parente Locky, attualmente vessano gli utenti di oltre 100 paesi. Di recente gli hacker hanno cominciato a prestare maggiore attenzione a imprese e organizzazioni in possesso di dati di valore: ultimamente, alcuni ospedali statunitensi sono caduti vittime di attacchi di ransomware.

L’ascesa dei cryptoworm

Nel tentativo di fare cassa nel minor tempo possibile, i cybercriminali cercano delle vie per espandere gli attacchi, in modo da propagare ulteriormente i loro locker. Le campagne di spam dannoso funzionano ancora, sebbene non siano tanto efficaci come una volta: poiché le minacce informatiche ottengono copertura mediatica, gli utenti stanno diventando più scaltri e sanno come riconoscere i trucchetti utilizzati più di frequente.

In un altro importante sviluppo, i browser e gli antivirus hanno imparato a rilevare e a bloccare le URL dannose o lo spam contenente malware. In risposta a questo sviluppo, gli hacker hanno gradualmente eliminato il loro abituale approccio stile “bombardamento a tappeto” alla distribuzione del malware. Sono passati sempre più a metodi utilizzati tempo fa dalle campagne più diffuse ed efficaci: i cari, vecchi worm.

Meet the #cryptoworm… the future of #ransomware via @zpring @threatpost https://t.co/zndtXFulGB pic.twitter.com/BYRjQG8X7j

— Kaspersky Lab (@kaspersky) April 12, 2016

I ricercatori prevedono che la prossima fase nello sviluppo del ransomware porterà ai cryptoworm, un ibrido maligno di malware e ransomware autopropagante. Questo nuovo tipo di malware prende il meglio di entrambi: nuove specie di ransomware possono copiarsi e distribuirsi attraverso computer efficacemente infettati criptando i file e chiedendo il riscatto.

La prima apparizione sul palcoscenico è stata quella di SamSam, che si è intrufolato in vari network aziendali e ha infettato sia i computer nelle reti, sia l’archivio cloud che conteneva le copie di backup.

ZCryptor

Questa settimana Microsoft ha individuato un nuovo campione di un cryptoworm a cui è stato dato il nome di ZCryptor. È unico nel suo genere in quanto cripta i file e si autopropaga agli altri computer e dispositivi di rete senza l’utilizzo di spam dannoso o di un exploit kit. Il malware si copia sui computer connessi e i dispositivi portatili.

Per infettare la prima vittima, ZCryptor usa tecniche comuni: si finge un programma d’installazione di uno dei programmi più popolari (come Adobe Flash) o si infiltra nel sistema attraverso alcune macro dannose in un file di Microsoft Office.

#Microsoft Warns of ZCryptor #Ransomware with Self-Propagation Features https://t.co/Iuwsv8hxxl #malware pic.twitter.com/QBSMGxtSgg

— Catalin C. (@campuscodi) May 27, 2016

Una volta dentro il sistema, il cryptoworm infetta i drive e i flash drive esterni così può essere distribuito agli altri computer, e poi comincia a criptare i file. ZCryptor è in grado di criptare oltre 80 formati di file (alcune fonti parlano di circa 120) aggiungendo un’estensione .zcrypt al nome del file.

Dopodiché, la storia si evolve in uno scenario noto: un utente vede una pagina HTML che lo informa che i suoi file sono criptati e disponibili per un riscatto di 1,2 Bitcoin (circa 650$). Se i delinquenti non lo ricevono entro 4 giorni, questa somma viene incrementata fino a 5 Bitcoin (oltre 2.500$).

Purtroppo, gli esperti non sono stati in grado di trovare il modo di decriptare i file in modo tale che gli utenti colpiti evitassero l’opzione del riscatto. Ciò significa che l’unica opzione che rimane è essere molto accorti.

10 tips to protect your files from ransomware https://t.co/o0IpUU9CHb #iteducation pic.twitter.com/I47sPIiWFF

— Kaspersky Lab (@kaspersky) November 30, 2015

Mezzi di protezione

Se volete essere risparmiai dagli attacchi di ZCryptor, seguite questi semplici consigli:

• Aggiornate il vostro sistema operativo e il software con regolarità, chiudendo le vulnerabilità sfruttabili e prevenendo così che il cryptoworm viaggi attraverso la vostra rete.
• Come sempre, state all’erta ed evitate i siti sospetti; non aprite gli allegati provenienti da una fonte poco chiara. In generale, rispettate le regole basilari di igiene digitale.
• Disabilitate le macro in Microsoft Word: stanno diventando ancora una volta un comune metodo di distribuzione del malware tra i cybercriminali.
• Non dimenticate di fare regolarmente il backup ai vostri file e di conservarne una copia sul hard disk esterno che è disconnesso dal vostro PC. Se avete i vostri dati sensibili a portata di mano, non c’è motivo di pagare il riscatto.

In più, utilizzate una protezione affidabile per il software. Kaspersky Internet Security individua ZCryptor come Trojan-Ransom.MSIL.Geograph ed è in grado di proteggere i nostri utenti da questa minaccia.