Evoluzione dei ransomware: ora colpiscono anche i Web Server

Tempo di lettura: 2 minuti

La piaga digitale di questi ultimi tempi: i Cryptolockers. Tantissime varianti che si sono susseguite fino ad adesso tra i vari Teslacrypt, Torrentlocker e cosi via. I criminali però stanno studiando nuove soluzioni per questo tipo di malware.

Fonte Immagine: CTB-Locker is back: the web server edition – Securelist

Ido Naor tramite il blog di Kaspersky ci informa di questa nuova tendenza, ovvero l’infezione dei Web Server tramite una nuova variante di CTB Locker, che ha infettato già in oltre 70 server in 10 paesi (tra cui l’Italia).Ora cercheremo di capire come funziona l’infezione e che piattaforme colpisce.

Come funziona

CTB Locker funziona in maniera semplice ma purtroppo efficace:

  • il web server prescelto per l’attacco viene analizzato alla ricerca di problemi inerenti la sicurezza, chiamati security hole
  • una volta trovata la porta di accesso, il sito viene de-facciato
  •  il contenuto sorgente del sito non viene eliminato, ma viene rinominato e crittato in un luogo sicuro del web server
  • il contenuto PHP / HTML viene rimpiazzato con del materiale che avvisa l’utente dell’avvenuta infezione 
Il pagamento è ridotto a 150 $, oltre il quale viene raddoppiato a 300 $, nel caso di pagamento tardivo. Per mostrare che non è uno scherzo viene permessa la decrittazione gratuita di due file (prescelti in origine dagli attaccanti). E’ stata introdotta addirittura la possibilità di chattare direttamente con gli attaccanti, dopo aver inserito un codice segreto personale che può aver solo chi è stato infettato / attaccato. Il tipo di crittografia usato è l’AES-256 Encryption
L’unica soluzione?
Avere backup del contenuto in un luogo sicuro, oltre a controllare i componenti aggiuntivi in uso nella propria piattaforma online. Questo perché la piattaforma più colpita, per ora, sembra proprio WordPress, la quale permette l’uso di componenti aggiuntivi che non sempre risultano aggiornati. Questi ultimi mostrano il fianco a problemi di sicurezza, rendendo possibile la scoperta di security hole, come indicato ad inizio articolo, dal quale poi possono accedere i criminali. 
Da qui nascono le normali indicazioni di sicurezza, ovvero:
  • molta attenzione a mail sospette
  • molta attenzione in merito banner pubblicitari troppo allettanti 
  • prestare attenzione ai software e plug-in in uso, verificandone attentamente la provenienza e l’attendibilità 
  • eseguire backup completi e tenerli in un posto sicuro 
Elvis
Seguimi
(Visited 67 times, 1 visits today)

Elvis

Microsoft MVP Windows Expert dal 2011 fino al 2017 e dal 2017 Microsoft MVP Windows Insider. Google Certified e Comptia Security + Certified, ha scritto per WindowsBlogItalia e Windowsteca. Appassionato ed esperto dei sistemi Microsoft Windows e della sicurezza informatica. In caso di difficoltà non esitate a commentare l'articolo; prima di fare modifiche al sistema è consigliato creare un punto di ripristino. In caso di installazione di strumenti terzi prestare attenzione alle spunte ed alle installazioni supplementari superflue.

Lascia un commento

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *

NON seguire questo link o sarai bannato dal sito!