Kaspersky Lab svela le nuove modalità di implementazione dei malware di tipo crittografico ransomware, specifici codici maligni capaci di criptare i dati dell’utente per poi chiedere una “sorta di riscatto” per la decrittazione.
Kaspersky Lab ha definito questo malware “Onion” ransomware perché utilizza la rete anonima Tor (il router “Cipolla”) per nascondere la sua natura dannosa e per rendere più arduo il riconoscimento dei criminali che si nascondono dietro a questa campagna di malware ancora in corso.
Il malware Onion è stato definito il successore di alcuni dei malware crittografici già noti: CryptoLocker, CryptoDefence/CryptoWall, ACCDFISA e GpCode. Si tratta di una piattaforma maligna che utilizza un meccanismo di conto alla rovescia che esorta i malcapitati a pagare in Bitcoin per la decrittazione. I criminali informatici concedono solo 72 ore per effettuare il pagamento, superate le quali tutti i file saranno eliminati per sempre.
Per trasferire i dati segreti e le informazioni sul pagamento, Onion comunica attraverso dei server di comando e controllo situati da qualche parte all’interno della rete anonima. I ricercatori di Kaspersky Lab si erano già trovati difronte a questo tipo di architettura di comunicazione, utilizzata solo da poche “famiglie” di malware di tipo bancario come il 64-bit ZeuS potenziato da Tor.
Fedor Sinitsyn, Senior Malware Analyst di Kaspersky Lab
Tor è diventato ormai un mezzo di comunicazione collaudato tanto da essere utilizzato da diversi tipi di malware. Il malware Onion ha apportato notevoli miglioramenti tecnici rispetto a quanto visto in precedenza nelle campagne nocive che utilizzavano Tor. Nascondere i server di comando e controllo all’interno di una rete anonima Tor complica ulteriormente l’identificazione dei criminali informatici cosi come l’uso di un sistema di crittografia non ortodosso rende impossibile la decrittazione dei file anche quando il traffico viene intercettato tra il Trojan e il server. Tutto ciò fa di questo malware una minaccia molto pericolosa oltre che il malware crittatore tecnologicamente più avanzato mai esistito.