Ransom32, il ransomware che si finge Chrome, chiede soldi e spaventa l'Italia

Ransom32, il ransomware che si finge Chrome, chiede soldi e spaventa l'Italia

Gli italiani si sono mostrati fra i più sensibili e i più colpiti dal nuovo ransomware che prende in ostaggio tutti i file sensibili di un sistema richiedendo un riscatto

di Nino Grasso pubblicata il , alle 10:35 nel canale Sicurezza
 

Ha suscitato particolare interesse e qualche preoccupazione un nuovo tipo di ransomware in circolazione da fine dicembre. Ransom32 si basa su JavaScript e sembra decisamente più preoccupante del normale visto che usa il framework NW.js per infettare il computer target e chiedere il riscatto. Il malware viene offerto su Tor in qualità di "ransomware-as-a-service" in cambio del 25% dei proventi ottenuti dal "riscatto".

Ransom32 è stato riportato per la prima volta da una delle prime vittime sul forum Bleeping Computer, e negli scorsi giorni ESET ha comunicato che si è mostrato decisamente attivo in Italia, con il Belpaese che risulta il più colpito a livello mondiale. Al momento in cui scriviamo ha inflitto solo macchine basate su ambiente Windows, ma utilizzando il framework NW.js è potenzialmente compatibile su tutte le piattaforme desktop principali, quindi Windows, Linux e MacOS X.

Ransom32

L'esperto di sicurezza Fabian Wosar ha approfondito l'argomento nel blog EMSISOFT. Nonostante Ransom32 sia stato avvistato al momento esclusivamente sotto forma di file .exe, Wosar sostiene che Ramson32 possa essere portato facilmente anche in ambiente Linux e MacOS X. Utilizzando NW.js, inoltre, il malware può prendere il controllo di alcune componenti fondamentali del sistema operativo, abilitando Java ad eseguire azioni tipiche di altri linguaggi di programmazione come C++ o Delphi.

L'exploit viene venduto sul dark web come se fosse un servizio, una modalità per niente nuova nella categoria. In passato lo sviluppatore di Tox richiedeva il 30% degli introiti provenienti dal pagamento dei riscatti, così come il team FAKBEN, che ne voleva il 10%. Gli autori di Ransom32 hanno scelto una via di mezzo, il 25% per avere le versioni personalizzate del proprio ransomware che non è attualmente decifrabile da terzi.

Ransom32 si caratterizza per alcuni dettagli difficili da trovare su altro software della stessa categoria. Le sue dimensioni pachidermiche, ad esempio, non sono tipiche fra i ransomware: il nuovo malware "pesa" infatti 32MB, laddove altri ransomware non superano nemmeno il singolo megabyte per essere il più trasparenti possibile in fase di installazione sul computer target. Wosar ha comunque precisato che non si tratta di qualcosa che lo rende meno efficace.

L'esperto di sicurezza ha paragonato infatti Ransom32 a CryptoLocker per quanto riguarda la complessità della crittografia utilizzata. Fra le stranezze, gli autori alla base del nuovo ransomware hanno deciso di lanciarlo durante le feste natalizie, periodo in cui solitamente la gente si trova fuori casa, e non di fronte al PC. È probabile che la scelta sia dovuta alle intenzioni degli sviluppatori di tenere Ransom32 fuori dai radar nei primi tempi.

Un'altra delle peculiarità del malware è che si traveste da Chrome per passare inosservato agli occhi degli utenti. Ransom32 viene consegnato sotto forma di un file compresso con estensione RAR che si auto-estrae creando un collegamento nella cartella di Avvio automatico con il nome "ChromeService". In questo modo Ransom32 viene eseguito ad ogni avvio, chiedendo un riscatto in Bitcoin per riottenere l'uso di tutti i file, i quali vengono protetti con una chiave crittografica che l'utente non può sapere.

La chiave AES viene memorizzata insieme ai dati crittografati, con le vittime che hanno quattro giorni per effettuare il pagamento, dopo di che viene aggiunta un'ulteriore penale. Il software mostra inoltre di essere in grado di sovvertire la protezione crittografica sbloccando un singolo file, con il pagamento che risulta invece necessario per ottenere nuovamente l'accesso a tutti i file del sistema. Se il riscatto non vien pagato entro sette giorni dal primo avviso la chiave AES sarà distrutta e tutti i file crittografati potrebbero non essere più ripristinati.

Per proteggersi, al momento, Wosar consiglia di effettuare un backup della propria macchina e conservarlo con estrema cautela.

63 Commenti
Gli autori dei commenti, e non la redazione, sono responsabili dei contenuti da loro inseriti - info
TheMonzOne15 Gennaio 2016, 10:50 #1
In azienda stiamo ricevendo molte mail contraffatte ed infette e, purtroppo, nonostante i nostri ripetuti avvisi, due dipendenti ci sono anche cascati e si sono beccati Cryptoloker (o magari era già questo). Fortunatamente sono stati infettati due portatili e l'attacco è avvenuto mentre erano fuori dall'azienda, quindi ci siamo salvati. Il fenomeno effettivamente si è molto accentuato a partire dallo scorso periodo natalizio.
Continuano ad arrivare mail con allegati Word con scritto che si tratta di fatture per alcuni pagamenti effettuati, ovviamente finti. Il solo fatto che ti venga mandata una fattura in formato word dovrebbe un minimo farti pensare ma di utonti, si sa, è pieno il mondo.
Per non parlare di quante mail con allegati eseguibili arrivano, quelle vengono tutte bloccate dal sistema anti-spam, ma si parla di decine e decine di mail al giorno.
Notturnia15 Gennaio 2016, 11:07 #2
confermo quanto detto da TheMonzOne .. lunedì ne sono arrivate 8 una in fila all'altra.. fortunatamente tutte segnalate come spam e con allegato rimosso..
la cosa inizia ad assumere dimensioni preoccupanti..
Er Monnezza15 Gennaio 2016, 11:14 #3
ce n'è sempre una nuova

ultimamente vedo che circolano parecchio anche delle finte mail di Equitalia scritte in un Italiano sgrammaticato e con allegati sospetti

occhio
HSH15 Gennaio 2016, 11:16 #4
se non ricordo male colpisce anche i files nelle unità di rete mappate?
devo ricordarmi di smappare l'unità di bkp del nas a casa che non si sa mai
Frinck15 Gennaio 2016, 11:34 #5

Strunz

menomale le inviano alle aziende cosi fanno girare l'economia.. tanto quelli che lavorano in azienda sono tutti ritardati che non ne capiscono nulla di informatica..
PsychoWood15 Gennaio 2016, 11:38 #6
Originariamente inviato da: Er Monnezza
circolano parecchio anche delle finte mail di Equitalia scritte in un Italiano sgrammaticato e con allegati sospetti


Pensavo fosse la prova che sono autentiche...
themac15 Gennaio 2016, 11:47 #7

Per esperienza

Quasi tutti i contagiati che ho visto non usavano Gmail.
E poi c'e' il problema dei filtri delle caselle postali corporate. Alcuni sono molto carenti (sopratutto per le piccole e medie aziende).

Le vostre esperienze sono concordi alle mie ?

TheMac
LASCO15 Gennaio 2016, 11:49 #8
quando leggo queste notizie a volte devo rileggerle per capire se si viene infettati: a) solo aprendo la email, b) solo scaricando l'allegato, c) solo aprendo l'allegato.
In tal caso mi pare sia c).
Io come buona norma, quando si tratta di tali articoli, scriverei sempre (magari in un riquadro come si fa con la valutazione dei videogiochi, come la fisica, la grafica, l'audio, ecc. ) le caratteristiche principali del virus/trojan/ecc..
Frate15 Gennaio 2016, 11:49 #9
Originariamente inviato da: Frinck
menomale le inviano alle aziende cosi fanno girare l'economia.. tanto quelli che lavorano in azienda sono tutti ritardati che non ne capiscono nulla di informatica..


lavoro in azienda con altre 10 persone, è un lavoro amministrativo con utilizzo massico del pc; sono quello che di gran lunga ne sa di più in ambito informatico, ma ti garantisco che i miei colleghi e colleghe non sono ritardati, anzi lavoro con gente veramente in gamba e potrei essere considerato tranquillamente l'ultima ruota del carro
Er Monnezza15 Gennaio 2016, 11:56 #10
Originariamente inviato da: PsychoWood
Pensavo fosse la prova che sono autentiche...


potrebbe essere

Devi effettuare il login per poter commentare
Se non sei ancora registrato, puoi farlo attraverso questo form.
Se sei già registrato e loggato nel sito, puoi inserire il tuo commento.
Si tenga presente quanto letto nel regolamento, nel rispetto del "quieto vivere".

La discussione è consultabile anche qui, sul forum.
 
^