martedì 5 marzo 2019

GandCrab e la "porn extortion"


"Abbiamo preso il controllo della tua webcam e ti abbiamo ripreso mentre guardi video porno. Abbiamo criptato i tuoi dati. E ora vogliamo il riscatto".

Si presenta così la nuova estorsione a sfondo sessuale, dopo un periodo di (relativa) calma:  questo schema di ricatto si è già visto molte volte nel corso dello scorso anno, usato per la diffusione di varie tipologie di malware e convincendo non poche vittime, sulla scia della vergogna e della paura, a pagare il riscatto. La campagna attuale distribuisce il ransomware GandCrab, una delle punte di diamante tra gli strumenti del cyber crimine. 

GandCrab in breve
abbiamo parlato dettagliatamente di questo ransomware e delle versioni diffuse in questo testo.  GandCrab è quello che, detto tecnicamente, si chiama un RaaS, ransowmare as a service: un vero e proprio servizio dove il malware è messo in vendita/affitto ad una vasta rete di sub-distributori. I gestori forniscono il codice del ransomware e assistenza tecnica, ricevendo in cambio dai clienti una percentuale su ogni riscatto ottenuto. La versione attualmente in diffusione, la 5.2, non ha una soluzione.  Alcune delle versioni precedenti invece sono risolvibili senza il pagamento del riscatto. 

Due delle caratteristiche che più contraddistinguono GandCrab (oltre al costante miglioramento tecnico) sono proprio la fantasia e la creatività con le quali sono approntate le varie tattiche fraudolente per convincere l'utente a fare clic su un link dannoso/aprire un doc allegato e abilitarne la macro, dando così il via all'infezione. 

La mail vettore
Questa campagna si caratterizza per l'uso di email recanti come oggetto brevi pensieri o dichiarazioni d'amore , del tipo "la mia lettera d'amore per te", "Mi sono innamorato di te", "Ho scritto quel che provo per te" ecc...

Il corpo del messaggio contiene un cuore stilizzato e poi c'è l'allegato .ZIP, chiamato "Love_You" seguito da svariate cifre.  L'archivio .ZIP contiene un file JavaScript con il codice per scaricare sul dispositivo della vittima il ransomware GandCrab. E' a questo punto che compare la nota di riscatto, dove è spiegato che tutti i dati sono stati criptati e che è necessario pagare un riscatto (nella maggior parte dei casi richiesto in Bitcoin) per recuperarli. Gli attaccanti forniscono addirittura, tramite una finestra di live chat, le spiegazioni necessarie ad una vittima che non fosse a conoscenza dell'esistenza delle criptovalute e delle modalità per ottenerle e versarle. 

In casi più rari invece, viene usata un'altra tecnica, sempre finalizzata alla diffusione di GandCrab: in questo caso le email hanno come oggetto frasi che rimandando a fatture o conferme di pagamento. Per visualizzare l'importante documento, il testo nel corpo email invita a fare clic su un link WeTransfer: si avvierà il download di un archivio .ZIP (talvolta un file .RAR). L'archivio è protetto da una password che gli attaccanti inseriscono nel corpo email. 

Le versioni risolvibili
GadnCrab conta 5 diverse versioni: sono attualmente risolvibili la maggior parte delle criptazione dovute alle versioni da 4.0 a 5.1. Non è ancora risolvibile la nuova versione, la 5.2. 

Nessun commento:

Posta un commento