mercoledì 5 ottobre 2016

Un nuovo ransomware open source per Linux divide la comunità di Infosec.

I ricercatori di sicurezza non sono stati in grado di decidere se pubblicare il ransomware open source su GitHub fosse una buona o cattiva idea. 


AGGIORNAMENTO: Zaitsev ha chiesto a Softpedia di rimuovere il progetto da GitHub poco dopo la pubblicazione dell’articolo che potete trovare qua sotto. 

CryptoTooper, un kit open source per la costruzione di un ransomware per Linux ha diviso la comunità Infosec a metà.

 La patata bollente al centro del dibattito è la stessa problematica che circondava i kit di programmazione dei ransomware EDA2 e Hidden Tear per Windows di Utku Sen.  Ovvero: è accettabile e corretto che ricercatori di sicurezza creino “ransomware a scopi didattici” e distribuirli poi su GitHub?



Qualcuno potrebbe pensare che la risposta sia netta e chiara “Assolutamente no!”, ma la realtà è abbastanza differente. In un recente sondaggio su Twitter si è chiesto agli utenti “un ransomware open source aiuta a migliorare il rilevamento e la prevenzione o peggiora la situazione?” Il risultato finale è stato molto equilibrato: il 54% ha dichiarato che “no, non aiuta” e il 46% “si, aiuta”.

Il sondaggio su Twitter riapre il dibattito sul “ransomware open-source”.
Il sondaggio, che è diventato molto popolare tra i ricercatori di sicurezza su Twitter, ha avuto 513 votanti e ha scatenato una lunga discussione piena di posizioni forti da entrambe le parti.
Questo progetto, come CryptoTrooper, è stato lanciato con scopi didattici, per mostrare ai ricercatori di Infosec come lavora un ransomware.

Il ransomware open-source ha solo trascorsi negativi
Dando uno sguardo retrospettivo all'ultimo anno, almeno due dei più importanti progetti di “ransomware didattico” sono finiti nelle mani di cyber-crminali reali che li hanno usati come basi gratuite per personalizzare il proprio ransomware:  Hidden Tear è stato usato per 12 famiglie di ransomware (8lock8, Blocatto, Cryptear, Fakben, GhostCrypt, Globe, Hi Buddy!, Job Crypter, KryptoLocker, MireWare, PokemonGO, e Sanction) mentre il progetto EDA2 è stato usato per 10 famiglie di ransomware (Brazilian, DEDCryptor, Fantom, FSociety, Magic, MM Locker, SkidLocker, SNSLocker, Strictor, e Surprise).

Ad esempio Sen, ricercatore turco e programmatore di “ransomware didattici”, ha lasciato backdoor sia in Hidden Tear che in EDA2 affinché fosse comunque possibile procedere a decriptazione tramite tool: salvo che alcuni truffatori sono riusciti a ottenere le patch necessarie a chiudere queste porte, rendendo i due ransomware non più uno strumento “dimostrativo”, ma un vero e proprio strumento di estorsione.

Infatti, il motivo per cui entrambi questi progetti sono stati rimossi da GitHub è che l’autore del ransomware Magic ha avuto un improvviso cambio di idea e ha dichiarato che “i ransomware open source sono deleteri” e ha ricattato Sen al fine di rimuovere i  repository.
In quel momento tutti hanno voltato le spalle a Sen, criticandolo per la sua decisione di pubblicare i codici su GitHub poiché questo aveva creato l’occasione per vari truffatori di appropriarsene per i propri scopi nefandi.

CryptoTrooper è stato affossato dalla reputazione di Hidden Tear  e di EDA2.
Mentre pochi sapevano che il progetto CryptoTrooper esisteva su GitHub da circa sette mesi, il recente sondaggio su Twitter ha fatto riemergere le discussioni che erano state fatte a inizio anno.
Se sommiamo le varianti del ransomware derivanti da Hidden Tear e EDA2 (12+10) che hanno dato tanti grattacapi ai ricercatori di sicurezza negli ultimi mesi, non dobbiamo essere sorpresi se alcuni ricercatori hanno criticato Maksym Zaitsev, il creatore di CryptoTrooper.

Certamente, alla fine del sondaggio, dopo la pubblicazione dell’articolo, c’è stato uno stupore generale. Nessuno si aspettava un risultato simile.


Concorde col risultato è Fabian Wosar,  l’analista di Emsisoft conosciuto come “Il nemico n1 dei ransomware”. Infatti, Wosar ha violato così tanti ransomware e creato altrettanti decryptor gratuiti che, a una certo punto, alcuni creatori di malware ne hanno creato uno con il suo nome: Fabiansomware.
“La maggior parte delle cose che dichiarano di essere per scopi educativi non hanno poi scopi educativi” ha dichiarato Wolsar a Softpedia. “Anche io non condivido la filosofia secondo la quale è necessario rovinare qualcosa per capire come ripararla. Non si è mai visto un chirurgo che va in giro a sparare nello stomaco della gente per imparare a fare il suo lavoro correttamente”.

CryptoTrooper è molto potente, ma è un ransomware incompleto.
Zaitsev, ad oggi molto criticato, si è difeso spiegando che  CryptoTrooper è un esperimento di creazione di ransomware. Il progetto non prevede infatti l’uso di soliti schemi di criptazione già usati dalla maggior parte dei ransomware.

“CryptoTrooper usa la criptazione AES correttamente per criptare i file” ha detto a Softpedia “Questa è una criptazione simmetrica, la quale richiede una chiave: basta però lasciare la chiave sul computer della vittima per rendere del tutto inutile la criptazione, poiché  la vittima può avviare la procedura inversa e decriptare i file facilmente. E’ qui che entra in gioco la “white-box encription” che è una criptazione simmetrica irreversibile: per capirsi sarà possibile, con questo sistema, criptare i dati con una speciale “chiave bianca”, ma non si potrà procedere alla decriptazione usando la stessa chiave. Questo è uno scenario molto interessante nel contesto dei ransomware”.

Se anche quindi questo ransomware è un prototipo che apre strade non ancora battute, è chiaro a molti che metterlo in download su GitHub  sia una pessima idea.
Ma per Zaitsev non ci sono pericoli perché “la criptazione white-box è incompleta (non l’implementazione, ma l’algoritmo stesso), quindi questo ransomware non può costituire una minaccia. “Il mio strumento insegna un sacco di cose su come trattare e affrontare la minaccia ransomware […] Un po’ come rilasciare un exploit: serve alla gente a cambiare approccio ad un problema. Rilasciando CryptoTrooper ho voluto mostrare che tutte le tecniche ampliamene utilizzate non riusciranno a sconfiggerlo. I ransomware non possono essere trattati come semplici malware, richiedono approcci diversi”.
Lo stesso punto di vista sembra essere condiviso da Utku Sen. “Due cose devono cambiare per combattere i ransomware: il metodo e il punto di vista pubblico,” ha scritto Sen in una email a softpedia.

Poche possibilità di vedere infezioni di CryptoTrooper nel prossimo futuro. 
Cryptotrooper non sembra essere un pericolo per i sistemi Linux in questo momento: tenendo conto del livello di conoscenza di crittografia necessarie per potenziare CryptoTrooper e la piccola quota di mercato che utilizza il sistema operativo Linux, tutto ciò sembra altamente improbabile. Inoltre la versione di CryptoTrooper per Windows richiede una completa riscrittura.

Ma la domanda principale resta: ransomware open-source rilasciati gratuitamente online sono o non sono una semplificazione del lavoro per i cyber-criminali?

1 commento: