Chi lo diffonde paga al creatore del codice una percentuale solo sui riscatti incassati in Bitcoin

Arriva un nuovo servizio di ransomware in affitto (ransomware-as-a-service, RaaS). Si chiama Satan e fa parte della famiglia Gen:Trojan.Heur2.FU. Lo ha scoperto il ricercatore indipendente sulla sicurezza informatica, Xylit0l nel Dark Web. Questo malware, a differenza di altri, offre agli utilizzatori la possibilità di personalizzare il proprio codice e le richieste di riscatto. Inoltre, fornisce aiuto nella creazione di documenti e macro malevoli, che possono essere usati per diffondere il ransomware. Questo, peraltro, è estremamente pericoloso. Al momento, infatti, la comunità di ricercatori di cybersecurity non è in grado di ripristinare i file bloccati dal malware. Il sistema, infatti, utilizza la crittografia RSA-2048 e AES-256. Non solo. Il “prodotto” non costa nulla a chi lo usa. Il creatore del codice tratterrà direttamente il 30% del riscatto pagato. La percentuale, poi, potrà abbassarsi in funzione dei riscatti ottenuti e dei computer infettati.

Come funziona Satan

Satan viene diffuso attraverso campagne di phishing o link malevoli. Una volta installato, il malware cripta i file e crea un documento HTML sul desktop del computer compromesso. Al suo interno sono contenute le istruzioni che le vittime devono seguire per poter sbloccare i file. In particolare, il ransomware guida il possessore del pc a installare un browser Tor. Grazie a esso si possono raggiungere domini web che non sono indicizzati dai tradizionali motori di ricerca. A quel punto viene inviato un link con suffisso .onion che porta alla pagina dei pagamenti. Questi possono essere effettuati solo in Bitcoin. Una volta ricevuta la conferma del riscatto ottenuto, vengono inviate alla vittima le chiavi per decrittare i file.

La diffusione dei ransomware cresce a livello globale

I ransomware colpiscono ogni 40 secondi, lo rileva uno studio di Kaspersky Lab, pubblicato lo scorso dicembre. All’inizio del 2016, avveniva un attacco di questi tipo ogni due minuti. Oggi la frequenza si è ridotta ad appena 40 secondi. I dati, peraltro, sono riferiti esclusivamente al comparto aziendale. Per i privati le cose vanno molto peggio. Subiscono un cyberattack in media ogni 10 secondi. Questo tipo di minaccia informatica, seppure diversi studi dicono che diminuirà nel 2017, l’anno scorso ha avuto priorità massima. Tanto che sono state introdotte 62 nuove varianti di ransomware nel 2016. Non solo direttamente dai creatori, ma anche da soggetti terzi. Va sempre più di moda, infatti, il RaaS come Satan.

Il pericolo dei ransomware viene dalla qualità, non dalla quantità in circolazione

Non solo. Il numero di nuovi modelli di ransomware che vengono rilevati ogni giorno – fa sapere Kaspersky Lab – potrebbe sembrare spaventoso. Ma la quantità è un problema minore rispetto alla qualità. Un numero relativamente piccolo di famiglie di malware sono codificate abbastanza bene e possono preoccupare. Queste, però sono in grado di causare seri danni (da Locky a Cerber). Inoltre, sebbene una singola persona possa lanciare una campagna ransomware, il cybercrime si specializza e trae vantaggio dal lavoro di squadra. I criminali informatici si occupano del supporto tecnico, aiutando le proprie vittime durante il processo di acquisto dei bitcoin per pagare il riscatto. Tutto ciò mentre migliorano il proprio codice e cercano di ingannare i ricercatori di sicurezza e le forze dell’ordine.

Tipi di ransomware

L’evoluzione di diversi tipi di ransomware (da semplici e prototipiche applicazioni brew che dipendono da strumenti di terzi, come WinRAR, GPG, ai malware che eseguono codici dal Microsoft Developer Network) dimostra l’inclinazione del cybercrime ad alzare la posta in gioco. Inoltre, oggi non è raro trovare ransomware sofisticati capaci di eliminare i backup delle shadow copy che criptano gli allegati esterni o i dischi di rete o che si introducono nei file sincronizzati sul cloud. Alcune nuove varianti di ransomware scoperte in Brasile mostrano che questi malware continuano a crescere, ma invece di innovarsi si rinnovano. Perché creare un proprio codice? Anche i bambini che non dispongono di conoscenze specifiche possono comprare un kit per ransomware, con tutto ciò di cui si ha bisogno per iniziare una campagna e possono scegliere un tema. Se il branding è abbastanza interessante, riceve attenzione mediatica, portando non solo soldi ma anche fama.

L’articolo su Satan di Bleepingcomputer, in cui si spiega come si può personalizzarlo