I modelli comportamentali del ransomware sono in evoluzione, gli autori di malware seguono nuove strade per far progredire il business criminale e le autorità federali statunitensi si dicono impotenti di fronte alla minaccia dei file criptati. La soluzione migliore è pagare.
Una delle alternative più interessati al tradizionale modello di ransomware controllato da remoto arriva dalla Russia, dove ignoti cyber-criminali hanno ideato una minaccia che sostituisce le chiavi crittografiche salvate online con quelle offline integrate direttamente nei file criptati.
All’atto dell’infezione, il malware crea una chiave RSA pubblica e la salva nei metadati dei file criptati, comunicando altresì agli utenti che i loro documenti sono finiti in ostaggio; a quel punto l’utente può contattare i criminali via posta elettronica allegando un sample di file infetto, ricevendo in cambio la richiesta di un pagamento in rubli e l’eventuale chiave privata necessaria a decriptare i documenti.
Al di là del meccanismo di funzionamento completamente offline, dicono i ricercatori, il ransomware Ransomcrypt.U (come classificato da Symantec) non è particolarmente sofisticato e l’unico payload di cui è dotato riguarda l’infezione dei file.
Un altro modello alternativo di estorcere denaro dagli utenti è quello perseguito da Chimera , ransomware che segue la solita strada della cifratura remota dei file ma vi aggiunge la minaccia di diffondere i file criptati online nel caso in cui la vittima non pagasse gli oltre 600 euro in Bitcoin richiesti per la decodifica. La minaccia è in realtà teorica, dicono i ricercatori, perché nulla dimostra che i file degli utenti vengano effettivamente trasferiti su un server remoto dopo la cifratura.
Quale che sia il modello di business seguito dagli autori, in ogni caso, il ransomware è un problema che sovente si dimostra quasi impossibile da risolvere con l’immediatezza di un tool antivirale: secondo l’agente dell’FBI Joseph Bonavolonta, il consiglio migliore che si può dare alle vittime della crittografia malevola è semplicemente di pagare il riscatto per decodificare i file infetti.
A ProtonMail, il servizio di email sicure tenuto sotto scacco da un attacco DDoS, pagare il riscatto non è servito : solo dopo una settimana, e con la collaborazione di numerosi esperti, il provider svizzero è riuscito a liberarsi da una seconda ondata di attacchi.
Alfonso Maruccia