Kaspersky Lab, durante un'indagine svolta recentemente, ha individuato un nuovo modo di implementare il malware di tipo crittografico ransomware – un malware che cripta i dati dell'utente per poi chiedere una sorta di riscatto per la decrittazione. Kaspersky Lab ha definito questo malware "Onion" ransomware perché utilizza la rete anonima Tor (il router "Cipolla") per nascondere la sua natura dannosa e per rendere più arduo il riconoscimento dei criminali che si nascondono dietro a questa campagna di malware ancora in corso.
I miglioramenti tecnologici che sono state apportate al malware hanno fatto diventare questa minaccia ancora più pericolosa rendendola una delle minacce crittografiche più sofisticate.
Il malware Onion è stato definito il successore di alcuni dei malware crittografici già noti: CryptoLocker, CryptoDefence/CryptoWall, ACCDFISA e GpCode. Si tratta di un nuovo ransomware crittografico che, per spaventare le vittime, utilizza un meccanismo di conto alla rovescia che esorta i malcapitati a pagare in Bitcoin per la decrittazione. I criminali informatici concedono solo 72 ore per effettuare il pagamento superate le quali tutti i file saranno eliminati per sempre.
Per trasferire i dati segreti e le informazioni sul pagamento, Onion comunica attraverso dei server di comando e controllo situati da qualche parte all'interno della rete anonima. I ricercatori di Kaspersky Lab si erano già trovati difronte a questo tipo di architettura di comunicazione, utilizzata solo da poche "famiglie" di malware di tipo bancario come dal 64-bit ZeuS potenziato da Tor.
"Tor è diventato ormai un mezzo di comunicazione collaudato tanto da essere utilizzato da diversi tipi di malware. Il malware Onion ha apportato notevoli miglioramenti tecnici rispetto a quanto visto in precedenza nelle campagne nocive che utilizzavano Tor. Nascondere i server di comando e controllo all’interno di una rete anonima Tor complica ulteriormente l’identificazione dei criminali informatici cosi come l'uso di un sistema di crittografia non ortodosso rende impossibile la decrittazione dei file anche quando il traffico viene intercettato tra il Trojan e il server. Tutto ciò fa di questo malware una minaccia molto pericolosa oltre che il malware crittatore tecnologicamente più avanzato mai esistito", ha detto Fedor Sinitsyn, Senior Malware Analyst di Kaspersky Lab.
Per saperne di più su come funziona uno schema di crittografia è possibile consultare i post correlati del blog di Kaspersky Lab.
Infezione con approccio triplo strato
Per raggiunere un dispositivo, il malware Onion, deve prima passare attraverso la botnet Andromeda (Backdoor.Win32.Androm). A questo punto il bot ottiene un comando per scaricare ed eseguire un altro pezzo di malware dalla famiglia Joleee sul dispositivo infetto. Quest'ultimo malware scarica quindi il malware Onion sul dispositivo. Ma questo è solo uno dei possibili modi in cui questo malware, secondo le analisi di Kaspersky Lab, è stato distribuito fino ad ora.
Distribuzione geografica
Al momento diversi casi di infezione sono stati registrati negli stati del CSI (Comunità degli Stati Indipendenti). Sono stati rilevati, invece, singoli casi in Germania, Bulgaria, Israele, Emirati Arabi e Libia.
I campioni di malware più recenti supportano l'interfaccia in lingua russa. Questo dato e una serie di stringhe all'interno del corpo del Trojan fanno pensare che i criminali che hanno scritto il malware parlino russo.
Consigli per proteggersi da questa minaccia
- Fare il back up dei file importanti
Il modo migliore per garantire la sicurezza dei dati importanti è eseguire regolamente un backup. Le copie del backup devono essere create su un dispositivo di archiviazione accessibile solo durante lo stesso processo (ad esempio un dispositivo di archiviazione rimovibile che si scollega subito dopo il backup). La mancata osservanza di queste raccomandazioni può tradursi nella possibilità che i file di backup vengano attaccati e criptati dal ransomware malware replicando la versioni dei file originali.
- Sotware antivirus
La soluzione di sicurezza dovrebbe essere sempre attivata cosi come tutti i suoi componenti, e il database sempre aggiornato.
Il report completo è disponibile sul blog di Kaspersky Lab.
Informazioni su Kaspersky Lab
Kaspersky Lab è la più grande azienda privata del mondo che produce e commercializza soluzioni di sicurezza per gli endpoint. L’azienda si posiziona tra i primi quattro vendor al mondo in questo mercato*. Nel corso dei suoi 16 anni di storia, Kaspersky Lab è stata un pioniere nella sicurezza IT, offrendo al mercato soluzioni di sicurezza IT per la protezione di utenti finali, Piccole e Medie Imprese e grandi aziende. Kaspersky Lab, la cui holding è registrata in Gran Bretagna, opera in 200 paesi e protegge oltre 300 milioni di clienti in tutto il mondo. Per ulteriori informazioni: www.kaspersky.com/it.
* L’azienda si è posizionata al quarto posto nel, 2012 di IDC. La classifica è stata pubblicata nel report IDC Worldwide Endpoint Security 2013-2017 Forecast and 2012 Vendor Shares (IDC #242618, August 2013). Il report ha classificato i vendor software in base al fatturato da soluzioni di sicurezza endpoint Worldwide Endpoint Security Revenue by Vendor nel 2012.
Sala Stampa di Kaspersky Lab: http://newsroom.kaspersky.eu/it/
Seguici su:
Twitter: https://twitter.com/KasperskyLabIT
Facebook: http://www.facebook.com/kasperskylabitalia
Google Plus: https://plus.google.com/u/0/b/110369116315123340458/110369116315123340458/posts
.jpg)
