I ransomware si confermano tra i malware preferiti dai cybercriminali anche quest'anno. Del resto, le ultime stime dichiarano che il gruppo dietro a Cryptowall 3.0 sia riuscito a racimolare l'esorbitante cifra di 325milioni di dollari solo nel 2015.
Non ci sorprende, quindi, che cerchino di curare il loro prodotto ed evolverlo, per renderlo più efficace e non perdere un'incredibile fonte di introiti.
Per cominciare, la nuova versione di Cryptowall ha modificato il protocollo con il quale comunica con i suoi server di comando e controllo, diventando trasparente a moltissimi firewall anche di ultima generazione.
Inoltre, il sistema di download è stato modificato per cercare di eludere antivirus e altre protezioni. I sistemi di whitelisting sembrano ancora reggere, ma molti di quelli euristici hanno bisogno di essere aggiornati.
Per complicare la vita agli utenti, Cryptowall rinomina i file di cui sequestra il contenuto, rendendo più difficile capire quali documenti siano stati criptati e quindi è difficile capire se ne abbiamo una copia di backup o meno.
Come se ciò non bastasse, una variante di Cryptowall sembra codificare al volo il flusso di dati che vengono indirizzati al backup, ritardando anche di mesi la richiesta di riscatto. In questo modo, l'utente si ritrova con mesi di backup che contengono file criptati che risultano inaccessibili senza pagare.
Sembra evidente, quindi, che i cybercriminali stiano cercando dei modi per massimizzare gli introiti dalle infezioni che portano a termine e anche chi non ha le (notevoli) competenze tecniche che stanno dietro a Cryptowall cerca di forzare la mano alle proprie vittime.
Chimera, per esempio, un altro ransomware che non si limita a crittografare i file, ma minaccia gli utenti che in caso di mancato pagamento i loro dati, inclusi foto e video contenuti sul PC, verranno pubblicati online con il loro nome in bella evidenza.
In questo modo, anche chi non ha molto da perdere in termini di dati potrebbe sentirsi spronato a pagare per proteggere la propria privacy.
Finora non sembra che ci siano stati casi di esposizione di dati imputabili a questo malware, ma è anche vero che se il dump dovesse arrivare sarebbe un file unico e non un flusso continuo, per minimizzare il rischio di esser rintracciati.
Concludiamo dando una buona notizia: due grandi campagne di cryptomalware sono state ormai sgominate grazie all'opera di Kaspersky Lab e dell'Unità Statale contro i Crimini Informatici dei Paesi Bassi.
Tutte le chiavi necessarie alla decodifica dei ransomware Coinvault e Bitcryptor sono state recuperate e da un sito dedicato le vittime dei due malware possono scaricare il software necessario a riaprire tutti i file crittografati.