Introdursi nei pc all'oscura degli utenti, rubare le informazioni private e criptare i dati all'interno dell'hard disk per poi chiedere un riscatto. Un riscatto non troppo esoso, che possa non far allarmare la polizia. Il crimine perfetto, quello isolato lo scorso fine settimana dalla società di sicurezza inglese Prevx, secondo la quale un trojan con funzioni di "ransomware" avrebbe attaccato numerosi PC, da singoli utenti a grossi enti, rubando credenziali di accesso e ricattando gli utenti per riavere i propri dati (come tipico appunto del malware definito "ransomware").

Il trojan, una volta individuati i file da criptare, li codifica con un algoritmo proprietario e lascia un documento in formato txt riportando la seguente scritta:

"Hello, your files are encrypted with RSA-4096 algorithm (http://en.wikipedia.org/wiki/RSA). You will need at least few years to decrypt these files without our software. All your private information for last 3 months were collected and sent to us. To decrypt your files you need to buy our software. The price is $300. To buy our software please contact us at: [email address] and provide us your personal code [personal code]. After successful purchase we will send your decrypting tool, and your private information will be deleted from our system. If you will not contact us until 07/15/2007 your private information will be shared and you will lost all your data. Glamorous team".

 Fortunatamente, i dati non sono stati codificati con l'algoritmo sopra illustrato, bensì con un algoritmo molto più semplice da decodificare. Inoltre le informazioni quali username e password vengono collezionate utilizzando tecniche simili a quelle utilizzate dai rootkit, cioè prendendo il controllo di alcune API di sistema e ricavandone i dati. Anche questi dati vengono codificati attraverso un altro algoritmo e, questa volta, vengono inviati ad un server remoto, dove i malware writer possono tranquillamente scaricarli e decodificarli.

Secondo alcune stime sono già migliaia i computer che sono stati compromessi, tra cui sembrerebbero essere presenti PC di enti governativi americani del calibro di HP, L-3 Communications e altre società. "Ciò che non possiamo sapere, al momento, è se questi dati sono già stati utilizzati in qualche modo" ha dichiarato Mel Morris, chief executive della società inglese Prevx.

Al momento non ci sono state dichiarazioni dalle società vittime del ransomware, a parte il dipartimento dei trasporti americani che ha negato l'esistenza di brecce di sicurezza nei propri sistemi. L'FBI ha declinato ogni commento, affermando come non sia possibile confermare né negare l'esistenza di una indagine al riguardo.

"Codificare documenti è un danno immenso per le società che devono lavorare con i propri dati. Pagare 300$ sarebbe molto più semplice che aspettare un decodificatore che arrivi da chissà dove. In fondo per una società 300$ non sono un così alto prezzo" ha commentato Marco Giuliani, malware analyst per Prevx, che ha poi continuato "Ma, pagando, i malware writer sono solo incoraggiati a continuare a ricattare le società e a fare il loro sporco gioco. Penso assisteremo ad un rapido incremento di minacce complesse come questa, attacchi mirati a società che, semplicemente, non possono permettersi di fermare il proprio lavoro per un ricatto".

Prevx ha comunque rilasciato un tool di rimozione dell'infezione e di decodifica dei file criptati a questo indirizzo. Maggiori dettagli tecnici sono presenti a questo indirizzo.

Fonte: Prevx