Il sofisticato Bitcoin Ransomware si evolve, Critroni e TOR

Un estremamente avanzato Bitcoin-basato ransomware trojan è stato scoperto da esperti di sicurezza il mese scorso. È il primo malware di questo tipo da utilizzare Rete TOR per comunicare in modo anonimo con un comando centrale e un server di controllo.

Il ransomware è un tipo di malware che tende a bloccare l’accesso a determinati sistemi del computer che infetta. Chiede all’utente del computer di pagare un riscatto all’operatore della truffa affinché le restrizioni vengano eliminate. Molti trojan ransomware cercano di indurre gli utenti a pagare una “multa” sostenendo di essere un software diretto dalle autorità legali, accusando falsamente le persone di possesso di pornografia infantile o scaricando contenuti piratati.

Altri badware della famiglia ransomware cercano nei computer i file archiviati dagli utenti, come foto o documenti, quindi utilizzano la crittografia per crittografarli in modo che non possano più essere consultati dalla persona che utilizza la macchina infetta. ΤQuesta è una tattica simile a quella utilizzata da Cryptolocker, un trojan ransomware che ha raggiunto il suo picco lo scorso anno. Gli operatori di Cryptolocker sono riusciti a raccogliere milioni di dollari di Bitcoin prima che l’FBI riuscisse a fermare l’operazione criminale rompendo i server di comando e controllo che Cryptolocker utilizzava nel maggio 2014. 

“Critroni” che richiede bitcoin è il più avanzato che gli esperti di ransomware abbiano visto fino ad oggi

Nell’ultimo decennio l’industria criminale del ransomware ha visto una crescita massiccia. Dai semplici blocchi dello schermo che richiedono un pagamento per andare via, al badware che utilizza tecnologie avanzate per costringere le persone a pagare il loro riscatto. Il ransomware sta ora raggiungendo l’apice, con trojan new age che utilizzano i cosiddetti crittografi. Programmi che crittografano i file degli utenti e richiedono un pagamento per la scomparsa del blocco dei file e la decrittografia dei file. Alcuni esempi di tali trojan sono CryptoLocker, CryptoDefence, CryptoWall, ACCDFISA e GpCode ma anche molti altri software fondamentali simili meno conosciuti che si erano diffusi in Russia. Il trojan appena scoperto, Critroni, è stato portato in vita a metà giugno 2014. Da allora è stato pubblicizzato in vari forum clandestini. Viene descritto come la nuova generazione di ransomware Bitcoin e non è simile a nessuno dei suoi antenati. È noto che il nuovo malware chiamato utilizza tecniche mai utilizzate prima da nessun altro malware.

Una delle sue caratteristiche uniche è che Critroni utilizza la rete TOR anonima per comunicare in modo anonimo con i suoi server di comando. I computer infettati da esso stanno infatti comunicando con il server di comando centrale del ransomware tramite TOR. In questo modo è possibile inviare una chiave memorizzata nel server dopo che il riscatto di Bitcoin è stato pagato, e questa chiave è l’unica possibilità che gli utenti delle macchine infette avranno di decrittografare i propri file.

Critroni (noto anche come CTB-Locker) potrebbe non essere il primo malware a utilizzare TOR per nascondere le proprie radici, ma questa è certamente la prima volta che vediamo ransomware farlo. Tuttavia, questo non è il più grande vantaggio di Critroni. Critroni è anche il primo malware a utilizzare il codice TOR incorporato direttamente nei propri file anziché fare affidamento sul legittimo software in bundle TOR per eseguire le comunicazioni. 

Critroni utilizza anche uno degli schemi di crittografia più bizzarri, ma efficaci, che il ransomware abbia persino utilizzato per bloccare l’accesso degli utenti ai file. I dati vengono prima compressi utilizzando l’algoritmo di crittografia ECDH (Diffie-Hellman a curva ellittica). Contrariamente alla combinazione di algoritmi più comunemente utilizzata tra ransomware AES e RSA, ECDH non consentirà la decrittografia dei dati dell’utente anche se la connessione tra la comunicazione del virus con il server di comando viene interrotta. In questo modo praticamente facendo pagare il riscatto (di solito fino a) 0.4 Bitcoin l’unico modo per l’utente di ripristinare i file crittografati.

Come si diffonde questo ransomware Bitcoin

Nelle sue prime versioni critroni si rivolgeva principalmente agli utenti di lingua inglese. Pertanto l’inglese era l’unica lingua del programma. In alcune versioni successive, anche il russo iniziò ad essere supportato accanto alla lingua inglese. I nuovi aggiornamenti hanno anche portato un timer per il conto alla rovescia alla GUI. In questo modo si dà agli utenti un avviso di tempo nel tentativo di intimidirli. 

L’immagine sotto mostra approssimativamente come il software dannoso si installa e si propaga. Innanzitutto, il bot Andromeda scarica ed esegue uno strumento chiamato Joleee. Questo strumento dannoso può inviare e-mail di spam e eseguire comandi ricevuti dai criminali informatici. È Jolee che scarica il criptatore sul computer infetto.

Propagazione CritroniSchema di propagazione di Critroni (Immagine da securelist.com securelist.com)

Pagamenti Bitcoin e TOR

Non è difficile notare che i creatori del virus si stanno impegnando molto per rimanere anonimi. Hanno buone ragioni per farlo, e non è solo perché quello che stanno facendo è considerato un’attività criminale. Facendo in modo che il loro software utilizzi una rete anonima, contribuiscono anche a far sì che il loro ransomware abbia una durata più lunga. Come accennato in precedenza, a maggio l’FBI è riuscito a chiudere un altro ransomware di crittografia chiamato Cryptolocker. Sono riusciti a rintracciare i loro server e a spegnerli. Questo potrebbe essere molto più difficile con il caso di Critroni poiché riceve comandi tramite TOR. Questa combinazione di incorporamento TOR e pagamenti Bitcoin gli ha permesso di superare l’anonimato dei suoi predecessori.

Critroni spiega BitcoinIl malware proverà persino a fornire agli utenti istruzioni su come acquistare bitcoin.

Consigli su come stare al sicuro e conservare i tuoi Bitcoin

Avere un software di sicurezza come un antivirus abilitato e aggiornato può essere vitale. Tuttavia questa non è una soluzione di fine linea.

Il modo migliore per assicurarti che i tuoi file siano al sicuro è creare i tuoi backup e il ransomware non è l’unica ragione per cui dovresti farlo. Non dovresti mai archiviare un file importante per te solo in un posto. È più probabile che file personali importanti non occupino gran parte del tuo disco rigido. Fare un backup offline, su un’unità esterna o una chiavetta USB, non è difficile ed è un modo affidabile per eseguire backup sicuri. Quello che dovresti tenere a mente quando esegui i backup, però, è che il dispositivo di archiviazione non deve essere connesso direttamente a Internet. Che si tratti di una USB, di un disco rigido esterno o di un disco floppy, averlo costantemente connesso al tuo personal computer con accesso a Internet lo renderà vulnerabile al ransomware di crittografia quanto lo spazio di archiviazione del tuo disco rigido principale. Anche l’archiviazione online va bene, ma nessuno può garantirne l’esistenza a lungo termine.

Oltre a ciò, mentre questo ransomware sta crittografando i file in modo dannoso, è sempre una buona idea crittografare personalmente qualsiasi file sensibile o di valore, come un portafoglio Bitcoin. Ciò renderà molto più difficile per malware, o hacker, rubare con successo i tuoi file in un modo che sarebbe utilizzabile.

Mike Owergreen Administrator
Sorry! The Author has not filled his profile.
follow me