Falsa assistenza online: invece di risolvere i ransomware avevano accordi coi truffatori

Succede molto spesso: si viene colpiti da un ransomware, si cerca nel web per capire se esista o meno una soluzione per la particolare versione di malware che ha infettato il nostro sistema. Oppure si chiede consiglio ad un esperto. In entrambi i casi si corrono comunque dei rischi: ad esempio, la maggior parte dei siti web risultanti nelle prime posizioni delle ricerche sui motori di ricerca più diffusi sono fake pensati solo per indurre le vittime di ransomware a scaricare una serie di software aventi funzioni ben diverse da quelle promesse. 

Non si è del tutto al sicuro neppure contattando esperti: non tutti infatti sono "veri esperti", ma potremmo anche imbatterci in complici degli attaccanti stessi. E' il caso della società russa Dr.Shifro: questa azienda promette assistenza in caso di attacchi ransomware, fornendo tool di risoluzione della criptazione che rimettano in chiaro i file senza dover pagare il riscatto agli attaccanti. Questa di per sé non è un'attività sospetta: sono moltissime le società (noi compresi) che offrono assistenza per i ransomware, un problema piuttosto diffuso e che può avere effetti devastanti, sopratutto per le aziende. Bisogna però insospettirsi (e così è stato nel caso di Dr.Shifro) se vengono offerte soluzioni a ransomware dei quali nessuna società di assistenza è in grado di offrire soluzione. 

Come si è scoperta la truffa?

I ricercatori di sicurezza di Check Point si sono insospettiti quando hanno ricevuto la segnalazione che Dr. Shifro prometteva assistenza per la risoluzione di Dharma/Crysis, un ransomware molto diffuso in questo periodo e per il quale, almeno per adesso, non vi sono soluzioni se non per alcune versioni. Ulteriori analisi hanno portato a scoprire che Dr.Shifro non conta nel proprio organico qualche genio che è stato in grado di risolvere un ransomware ostico per la gran parte della comunità di cyber sicurezza, ma che, al contrario, ha un accordo con i cyber criminali.

Il meccanismo è piuttosto semplice: Dr.Shifro gira parte dei compensi ricevuti dalle vittime di criptazione ai cyber criminali stessi, che in cambio gli forniscono la chiave per decriptare i dati di quel preciso cliente. Il costo del servizio di decriptazione è di circa 2.300 dollari statunitensi, di cui 1.300 versati agli autori del ransomware e 1.000 ai titolari di Dr.Shifro.

Ve ne sono altri?

Molto probabilmente non si tratta di un caso isolato, anzi. Sarebbero moltissime le società di sicurezza che promettono un intervento tecnico, spesso su ransomware per i quali la maggior parte degli esperti non ha soluzione, ma che agiscono in realtà come mediatori tra vittime e estorsori. In questo caso, semplicemente, queste aziende pagano il riscatto con i soldi delle vittime senza dirlo alle vittime stesse e guadagnando, per se, il costo di "manodopera". 

Prima di affidarvi a qualsiasi servizio di decriptazione, verificatene la legittimità, cercate online recensioni al servizio.