Kaspersky Lab ha rilevato un comportamento anomalo in una nuova minaccia appartenente alla famiglia di encryptor ransomware TeslaCrypt. Nella versione 2.0 del Trojan, conosciuto per aver infettato principalmente i gamer di videogiochi online, viene visualizzata una pagina HTML nel browser web, che consiste in una copia esatta di CryptoWall 3.0, un altro noto programma ransomware.
E’ probabile che i criminali con questa azione stiano siglando una dichiarazione di intenti: finora, molti file crittografati CryptoWall non possono essere decifrati, a differenza dei numerosi casi di infezione TeslaCrypt del passato. Come conseguenza dell’infezione, il programma nocivo chiede un riscatto di 500 dollari per ottenere la chiave di decrittazione e più tempo passa senza che la vittima paghi il riscatto più questo raddoppia.
I primi sample di TeslaCrypt sono stati scoperti nel febbraio 2015 ed il nuovo ransomware Trojan è diventato famoso tra le minacce rivolte ai gamer. Tra gli altri file obiettivo della minaccia sono inclusi file legati al gaming: tra cui salvataggi di partite, profili utente e replay decodificati. TeslaCrypt non cripta file che superano i 268 MB.
Meccanismo di infezione
Quando TeslaCrypt miete una nuova vittima, genera un indirizzo Bitcoin esclusivo per ricevere il pagamento del riscatto oltre ad una chiave segreta per riscuoterlo. I server di C&C di TeslaCrypt sono situati nella rete Tor. La versione 2.0 del Trojan utilizza 2 set di chiavi: uno di tipo esclusivo all’interno di un sistema infetto mentre l’altro generato ripetutamente ogni volta che il programma viene rilanciato. Inoltre la chiave segreta con la quale i file utente vengono criptati non viene salvata sul disco rigido, il che rende il processo di decodificazione molto più complesso.
E’ stato riscontrato che la famiglia di malware TeslaCrypt si propaga attraverso i kit exploit Angler, Sweet Orange e Nuclear. Il meccanismo di propagazione si innesca quando la vittima visita un sito infetto e il codice exploit dannoso, utilizzando le vulnerabilità del browser – in particolar modo i plugin – installa il malware sul computer della vittima.
“TeslaCrypt, un cacciatore di gamer, è progettato per ingannare e intimidire gli utenti. La sua versione precedente inviava un messaggio nel quale la vittima veniva avvertita che i suoi file erano stati criptati dal famoso algoritmo di crittografia RSA-2048 e questo voleva dire che non c’era possibilità di pagare il riscatto. In realtà, i cyber criminali non utilizzano questo algoritmo. Nella sua più recente versione, TeslaCrypt induce le vittime a pensare che hanno a che fare con CryptoWall – il quale una volta che ha criptato i file dell’utente non consente in alcun modo di decifrarli.Tuttavia, tutti i link portano ad un server TeslaCrypt – questo fa pensare che gli autori del malware non hanno alcuna intenzione di donare il denaro delle proprie vittime ad un concorrente”, ha dichiarato Morten Lehn, Managing Director di Kaspersky Lab Italia.
Consigli per gli utenti
- Creare regolarmente delle copie di backup dei file più importanti. Il supporto su cui vengono fatte le copie dovrebbe essere disconnesso subito dopo che la copia di backup risulta completata.
- Aggiornare il software regolarmente, in particolare il browser e i suoi plug-in.
- Aggiornare la soluzione di sicurezza all’ultima versione disponibile con i database aggiornati e i moduli di sicurezza attivati.
Kaspersky Lab lavora rigorosamente per proteggere gli utenti della rete contro i ransomware. Nel mese di aprile, in collaborazione con The National High Tech Crime Unit dei Paesi Bassi, la società ha lanciato il sito web The Ransomware Decryptor che aiuta le vittime del famigerato ransomware CoinVault a recuperare i propri dati senza pagare alcun riscatto ai criminali.