Ranscam, il finto ransomware che cancella tutti i file

Miniera d’oro per i criminali informatici, terrore di ospedali, aziende e utenti privati: sono i crypto-ransomware, il flagello digitale che, criptando i files presenti sul disco e chiedendo un riscatto in cambio della chiave di cifratura, ha mietuto moltissime vittime nei mesi passati.

I ricercatori del Talos Security Intelligence and Research Group di Cisco hanno ora individuato Ranscam, una nuova minaccia che pur comportandosi in alcuni tratti in maniera molto simile ad un ransomware tradizionale, in realtà non può essere propriamente inserito in questa categoria.

Ranscam chiede infatti anch’esso un riscatto perché la vittima possa riappropiarsi dei file crittografati, che però sono stati semplicemente cancellati. Una volta che Ranscam viene eseguito, appare un messaggio pop-up che assomiglia a quello di qualsiasi altro ransomware. Quel che accade, però, è un reboot forzato del sistema e la cancellazione di tutti i file, senza che alcunché venga crittografato.

I ricercatori Talos hanno individuato la minaccia sui sistemi di un piccolo numero di clienti. In tutte le circostanze, il malware ha mostrato lo stesso messaggio, come pure lo stesso indirizzo di wallet Bitcoin. Alla vittima viene intimato: “Devi pagare 0.2 Bitcoin (attualmente circa 120 Euro) per sbloccare il tuo computer. I tuoi file sono stati spostati in una partizione nascosta e criptati. I programmi fondamentali nel tuo computer sono stati bloccati e il tuo computer non opererà correttamente. Una volta ricevuto il pagamento in Bitcoin il tuo computer e i file saranno riportati istantaneamente alla normalità”.

Il messaggio è un file immagine che viene ricevuto tramite una richiesta HTTP non protetta, non criptata e non occultata ad un server ospitato da Vitalix presso Studio City, in California. Se si clicca sul pulsante dopo aver eseguito il pagamento, viene mostrata un’altra schermata che afferma che il pagamento non è stato verificato e un “file ostaggio” è stato cancellato. In realtà tutto ciò è assolutamente fuorviante poiché non vi sono partizioni nascoste e i file vengono eliminati tutti da un batch script lanciato da un eseguibile Windows .NET, firmato usando un certificato registrato ad un dominio (reca.net) che è di proprietà della società italiana Cavagna Group. Lo script usa PowerShell per cancellare file da directory specifiche.

Fino ad ora sono comunque stati riportati solamente pochi casi di infezione e non è ancora stato individuato il mezzo di contagio anche se questo genere di minacce si diffonde di norma mediante tecniche di phishing. In realtà non è molto chiaro nemmeno lo scopo degli autori del malware, dal momento che il modello ideato è abbastanza problematico: se non vengono restituiti i file alle vittime, queste difficilmente pagheranno il riscatto.

I ricercatori hanno provato a contattare gli autori del malware, tramite il modulo presente nella schermata di pagamento, i quali hanno fornito istruzioni di pagamento e consigli su come acquistare Bitcoin. Dal momento che l’indirizzo del wallet Bitcoin a cui effettuare il versamento è sempre lo stesso, i ricercatori sono riusciti a determinare che dal 29 giugno non vi sono state transazioni verso il wallet e che, pertanto, Ranscam non ha ancora mietuto reali vittime, considerando che il certificato usato per firmare l’eseguibile risale al 6 luglio 2016. Si tratta evidentemente di un tentativo, piuttosto rudimentale e amatoriale, di sfruttare le paure legate alla minaccia ransomware per raccogliere qualche spicciolo, con tuttavia l’aggravante di compromettere in maniera irreparabile i dati della vittima.

Autore: Le news di Hardware Upgrade