Dopo circa un anno e mezzo di attività, gli operatori che si celano dietro il famigerato ransomware GandCrab hanno annunciato lo stop delle operazioni e il blocco della distribuzione del ransomware alla rete dei propri affiliati.
GandCrab è divenuto la punta di diamante del mondo dei ransomware nel Gennaio 2018, colmando il vuoto lasciato da suoi "illustri" colleghi quali TeslaCrypt, CryptoWall, Spora Ransomware, che hanno tutti sospeso le proprie attività (chi per scelta degli attori, chi per la capacità dei ricercatori di sicurezza di forzarne il decrypt senza il pagamento del riscatto oppure ancora per attacchi coordinati di polizia e strutture di sicurezza informatica contro i loro server di comando e controllo).
Fonte: BleepingComputer.com |
Come si può leggere, gli operatori di GandCran dichiarano di aver generato oltre 2 miliardi di pagamenti in riscatto, con una media settimanale di 2,5 milioni di dollari. Ribadiscono però di aver intascato per se soltanto 150 milioni di dollari, lasciando il resto alla rete degli affiliati e investendo le rimanenze in business legali per ripulire il guadagno. Avvisano anche di aver bloccato la promozione del ransomware e chiedono alla rete dei propri affiliati di sospendere la distribuzione del ransomware entro 20 giorni, ribadendo che entro la fine del mese verranno cancellate tutte le chiavi di decriptazione.
Per quanto riguarda le vittime invece, quel post è una vera e propria minaccia: le vittime infatti dovrebbero acquistare il tool di decriptazione, pagando il riscatto, entro la fine del mese, pena l'impossibilità definitiva di recupero dei file dal momento in cui le chiavi verranno cancellate.
In realtà questa notizia, in apparenza pessima per le vittime, potrebbe essere un colpo di fortuna: sono già diverse decine i casi di ransomware i cui sviluppatori hanno rilasciato le chiavi o la master key al momento della chiusura delle attività. La cattiva notizia invece è che è piuttosto ricorrente nel mondo delle cyber minacce, quando un malware che ha visto una distribuzione di vastissima scala come GandCrab cessa le attività, veder spuntare una nuova cyber minaccia altrettanto pericolosa che ne prende il posto.
2 miliardi di guadagno?
La cosa che più colpisce del post in oggetto è la dichiarazione degli operatori di aver distribuito note di riscatto per un ammontare di circa 2 miliardi di dollari: probabilmente questa informazione è falsa e non sarebbe la prima volta che gli sviluppatori di GandCrab mentono o si prendono gioco degli utenti. Per quanto il gruppo dietro GandCrab non sia (ancora) stato individuato, ha alcune caratteristiche che lo rendono piuttosto individuabile. La prima è appunto il ricorso frequente alla menzogna, la seconda è il ricorso frequente al dileggio dei ricercatori di sicurezza impegnati nel tentativo di scardinare la rete di distribuzione del ransomware, il terzo è la vendicatività.
Per fare un esempio dell'ultimo punto: qualche tempo fa i ricercatori di sicurezza di AhnLab avevano distribuito un app capace di decriptare gratuitamente il ransomware, salvando le vittime di alcune versioni di GandCrab dal ricatto del pagamento del riscatto. Pochissime ore dopo la pubblicazione del tool, il gruppo dietro GandCrab contattò i ricercatori di Bleeping Computer annunciando loro la pubblicazione, di li a pochi giorni, di una vulnerabilità zero day di livello critico dell'antivirus AhnLab V3 Lite: era già pronto l'exploit per produrre una totale sospensione del servizio.
Fonte: BleepingComputer.com |
In conclusione
La sospensione delle attività di GandCrab e dell'intera sua rete di distribuzione (GandCrab è un RaaS, Ransomware as a Service) è sicuramente un'ottima notizia. Sono in corso, da parte di diversi operatori di sicurezza, contatti con gli anonimi gestori del servizio per scongiurare il rischio della cancellazione delle chiavi di criptazione, con conseguente definitiva impossibilità da parte delle vittime di poter recuperare i propri file. Non resta che sperare che tutto si concluda per il meglio e venga rilasciata la master key o le chiavi di decriptazione.
Data la grande quantità di casi di infezione da ransomware GandCrab (in svariati tipi di versione) che abbiamo in carico, aggiorneremo non appena ci saranno nuovi sviluppi.
Nessun commento:
Posta un commento