I ricercatori di sicurezza hanno scoperto una nuova variante di CryptoLocker, il famigerato ransomware che si è guadagnato gli onori della cronaca per l’elaborato meccanismo di cifratura impiegato nel bloccare e “prendere in ostaggio” i file presenti sui PC infetti.
Identificato da Bromium Labs , il nuovo CryptoLocker si fa notare soprattutto per la sua capacità di criptare i file appartenenti a popolari videogiochi per computer e non solo. Com’è tradizione, il malware prova prima di tutto a infettare il sistema con un file Flash malformato.
Dal pacchetto SWF vulnerabile si passa poi a un sito Web compromesso (basato su WordPress) e infine all’exploit kit Angler, pacchetto a cui viene deputata l’individuazione di falle sul client che permettano l’installazione del malware.
TeslaCrypt, nome con cui è stata battezzata la nuova variante di CryptoLocker, è progettato per fare la scansione dei dischi locali alla ricerca di ben 185 diverse tipologie di file inclusi immagini, documenti, database, codice sorgente e altro.
Su tutti, il malware predilige le estensioni dei file di dati appartenenti a giochi estremamente popolari come Dragon Age: Origins, Half-Life 2, Call of Duty, Minecraft e MMOG come Warcraft o Day Z. Non si salvano nemmeno le piattaforme Internet-dipendenti come Steam, e i file specifici di software house come Electronic Arts, Valve o Bethesda.
L’obiettivo principale di TeslaCrypt è ovviamente quello di fare soldi, e a tale scopo gli utenti infetti vengono istruiti su come pagare il riscatto in Bitcoin su un sito nella darknet di Tor. Superato il tempo limite la chiave privata usata per cifrare i file sarà distrutta e i dati non saranno più recuperabili, avvertono i cyber-criminali, anche se in passato una simile minaccia si è rivelata vera solo a metà.
Alfonso Maruccia