martedì 18 ottobre 2016

Ransomware low-quality: perché sono fonte di profitto nonostante bug e errori di programmazione?


Un tempo esistevano ransomware del calibro di  Cyrptolocker, di TeslaCrypt o di CBT Locker.
Ransomware
ben progettati, solidi, efficaci (valutazione, ovviamente, limitata al punto di vista tecnico).

E’ caduto il monopolio di CryptoLocker
Cryptolocker e CBT Locker sono ancora in circolazione, ma non sono più “monopolisti” nel mercato dei ransomware, TeslaCrypt “è stato suicidato” dai suoi stessi programmatori che ne hanno rilasciato pubblicamente la master key per motivi sconosciuti.
Questa situazione ha creato ampi spazi di “movimento” a nuovi, inesperti programmatori di ransomware, che si stanno accapigliando per lanciarsi nella mischia dell’affare RAAS (ransomware as a service): basso sforzo e guadagno garantito.

Il fenomeno dei ransomware open-source
Bisogna anche ricordare che ormai si trovano interi codici, o pezzi di codice, in giro per la rete, non necessariamente solo nel deep web (abbiamo parlato qui della discussione che ha scosso i ricercatori di GitHub riguardo alla funzionedei ransomware didattici) , che permettono anche a programmatori meno esperti di mettere insieme o ottenere il codice di un ransomware.

L’ingegneria sociale
Infine, le carenze tecniche, possono venire compensate da tecniche di ingegneria sociale (è il caso del ransomware JigSaw, ma non solo): tecniche tramite le quali più che puntare il mirino sul pc e sulle sue difese, si punta il mirino sull’utente, cercando di spaventarlo o di ingannarlo.
Ad esempio vi sono ransomware che sfruttano (per avendo un codice ben diverso) i nomi di ransomware famosi e diffusamente riconosciuti come pericolosi e senza soluzione al fine di spaventare le vittime. Oppure si utilizza il conto alla rovescia (“paga il riscatto entro XX ore, sennò cominceremo a cancellare i tuoi file uno ad uno”) per mettere pressione e ridurre la lucidità decisionale della vittima.  Tecniche che cercano cioè di compensare la debolezza tecnica del ransomware approfittando delle debolezze dell’utente.



Il problema più grave di questi “ransomware low-quality” è dato dal fatto che in molti casi presentano sistemi di crittografia difettosi, che provocano un doppio danno della vittima: la vittima subisce l’infezione, paga il riscatto e ottiene la chiave, ma la decriptazione non funziona oppure non è neppure prevista.
Un esempio su tutti  è stato Nukeware il quale, non presentando alcun sistema di crittografia, cancellava semplicemente tutti i file.

Quando la paura, quando l’assoluta ignoranza sul tema delle vittime, in ogni caso gli autori di questi ransomware continuano a guadagnare denaro: solo questi fattori infatti possono spiegare la permanenza nel mercato del cyber-crime di malware così scadenti.

Alcuni esempi di “ransomware low quality”

NoobCrypt: il più scarso delle famiglie di ransomware low- quality. Con la nota di riscatto finge di essere Cryptolocker, ma il suo codice è assolutamente diverso e con una enorme falla: usa una password unica per tutti i computer colpiti. Password che ormai è di dominio pubblico.

Per chi ne avesse bisogno, eccole


Cryptear: è una intera famiglia di ransomware low-quality, circa 28 versioni differenti di Hidden-Tear, ransomware open-source pubblicato a fini educativi e finito in mano al cyber-crimine.
La chiave crittografia dei ransomware di questa famiglia utilizza come variabile il numero di millisecondi trascorsi dall’avvio del sistema: particolarità che consente di restringere moltissimo il campo di ricerca e quindi facilita tentativo di violazione della chiave tramite semplice brute force.

Stampado: ransomware di origine brasiliana, il cui lancio fu annunciato da una vera e propria campagna di marketing comprendente annunci su forum, face book e persino un video promozionale su Youtube. Il tool di decriptazione fu approntato e diffuso ancora prima che il ransomware entrasse effettivamente in circolazione.




Nessun commento:

Posta un commento