La piaga digitale di questi ultimi tempi: i Cryptolockers. Tantissime varianti che si sono susseguite fino ad adesso tra i vari Teslacrypt, Torrentlocker e cosi via. I criminali però stanno studiando nuove soluzioni per questo tipo di malware.
| Fonte Immagine: CTB-Locker is back: the web server edition – Securelist |
Ido Naor tramite il blog di Kaspersky ci informa di questa nuova tendenza, ovvero l’infezione dei Web Server tramite una nuova variante di CTB Locker, che ha infettato già in oltre 70 server in 10 paesi (tra cui l’Italia).Ora cercheremo di capire come funziona l’infezione e che piattaforme colpisce.
CTB Locker funziona in maniera semplice ma purtroppo efficace:
- il web server prescelto per l’attacco viene analizzato alla ricerca di problemi inerenti la sicurezza, chiamati security hole
- una volta trovata la porta di accesso, il sito viene de-facciato
- il contenuto sorgente del sito non viene eliminato, ma viene rinominato e crittato in un luogo sicuro del web server
- il contenuto PHP / HTML viene rimpiazzato con del materiale che avvisa l’utente dell’avvenuta infezione
Il pagamento è ridotto a 150 $, oltre il quale viene raddoppiato a 300 $, nel caso di pagamento tardivo. Per mostrare che non è uno scherzo viene permessa la decrittazione gratuita di due file (prescelti in origine dagli attaccanti). E’ stata introdotta addirittura la possibilità di chattare direttamente con gli attaccanti, dopo aver inserito un codice segreto personale che può aver solo chi è stato infettato / attaccato. Il tipo di crittografia usato è l’AES-256 Encryption
Avere backup del contenuto in un luogo sicuro, oltre a controllare i componenti aggiuntivi in uso nella propria piattaforma online. Questo perché la piattaforma più colpita, per ora, sembra proprio WordPress, la quale permette l’uso di componenti aggiuntivi che non sempre risultano aggiornati. Questi ultimi mostrano il fianco a problemi di sicurezza, rendendo possibile la scoperta di security hole, come indicato ad inizio articolo, dal quale poi possono accedere i criminali.
Da qui nascono le normali indicazioni di sicurezza, ovvero:
- molta attenzione a mail sospette
- molta attenzione in merito banner pubblicitari troppo allettanti
- prestare attenzione ai software e plug-in in uso, verificandone attentamente la provenienza e l’attendibilità
- eseguire backup completi e tenerli in un posto sicuro