Aggiornamenti recenti Dicembre 4th, 2023 2:00 PM
partner
News Recenti
- Transparency Center Initiative di Kaspersky Lab: cosa significa per l’Italia
- I cybercriminali nord-coreani combinano vecchie campagne per sferrare nuovi attacchi
- Microsoft Entra ID Password Protection: gestire le password in maniera sicura
- Okta, altro che 1%: il breach ha colpito tutti gli utenti
- Google potenzia le difese contro lo spam con RETVec
- IA, QR Code e visori al servizio degli attaccanti: le cyber-previsioni di WatchGuard per il 2024
Filecode: il ransomware “Made in Italy” per Mac è un disastro
Il malware è stato distribuito attraverso siti che promettono il crack di noti software per Mac. Sophos: “i file si recuperano in 42 secondi”.
Popolo di santi, navigatori e… aspiranti pirati informatici. Su questo ultimo aspetto, però, sembra che per gli italiani ci sia da ancora da lavorare.
Un giudizio impietoso sui cyber-criminali di casa nostra arriva dai ricercatori di Sophos, che hanno individuato e analizzato un ransomware per sistemi Mac che, infatti, sembrerebbe essere stato messo a punto da programmatori italiani.
Se vogliamo rimanere aderenti alla retorica che vorrebbe classificare gli italiani come un popolo “creativo”, nel caso di Filecode le premesse ci sarebbero tutte.
Filecode è uno dei pochi ransomware che prendono di mira gli utenti Mac, che nell’ottica dei pirati sono tra le vittime più appetibili. Il motivo è sempre lo stesso: troppi aficionados della Mela hanno la cattiva abitudine di non usare un antivirus e contare solo sulla supposta “immunità” dei loro computer ai malware.
Le sufficienze in pagella per i pirati che stanno cercando di distribuire Filecode su Internet, però, finiscono qui. Tanto che, secondo i ricercatori che hanno studiato il malware, l’attacco ha buone probabilità di finire in una bolla di sapone a causa di una grossolana approssimazione da parte dei cyber-criminali in questione.
Gli autori di Filecode, infatti, non stanno utilizzando Exploit Kit o campagne di phishing per diffondere il ransomware, ma hanno avviato una campagna di distribuzione che si basa esclusivamente sulla distribuzione del malware attraverso siti Internet che propongono crack per software commerciali.
Una tecnica che offre indubbiamente dei vantaggi (l’installazione del malware riceve il consenso dell’utente senza troppi problemi) ma che difficilmente potrà coinvolgere un gran numero di utenti.
I ricercatori hanno individuato tre versioni del ransomware. Due di queste sono “travestite” da crack per Adobe Premiere e Office, mentre una terza si chiama semplicemente “Prova” e sembra una sorta di beta del malware. Abbastanza, però, per attribuirne la creazione a programmatori italiani.
Il fatto che una delle versioni sia chiamata “Prova” è un indizio sufficiente per attribuire la creazione del malware a un gruppo italiano.
Se la strategia di diffusione non è particolarmente efficace, le caratteristiche tecniche del ransomware sembrano essere ancora peggiori.
Secondo i ricercatori di Sophos, infatti, Filecode sconta numerosi difetti. Prima di tutto il ransomware usa alcuni strumenti del sistema operativo per individuare i file dell’utente e crittografarli. Peccato lo faccia in maniera approssimativa, con il risultato che la crittografia dei documenti ha buone possibilità di interrompersi dopo poco.
Non solo: anche il sistema di crittografia, che dovrebbe rendere inaccessibili i dati al legittimo proprietario e indurlo a pagare un riscatto per ottenere la chiave crittografica con cui decodificare i dati, è decisamente “debole”.
Gli autori di Filecode non hanno infatti utilizzato un sistema di crittografia “forte” per blindare i file, ma hanno scelto una procedura piuttosto banale, che sfrutta gli archivi compressi protetti da password.
Il ransomware, in pratica, crea una copia compressa (e crittografata) di tutti i file che trova e cancella gli originali, usando i comandi di Mac OS X.
I file ZIP creati dal ransomware sono protetti da una password di 25 caratteri generata automaticamente da Filecode. Questo significa, in primo luogo, che tutti i file presi in ostaggio sono protetti dalla stessa password. Trovata questa, i file possono essere recuperati.
In teoria, per ottenere la password le vittime dovrebbero eseguire un pagamento di 0,25 Bitcoin (circa 300 euro) mettendosi in contatto con i pirati attraverso uno specifico indirizzo email. Gli stessi criminali, poi, garantirebbero la restituzione dei file entro 24 ore attraverso un sistema di controllo remoto riguardo il quale non forniscono maggiori dettagli.
La procedura può essere accelerata pagando un riscatto superiore (circa 500 euro) che permetterebbe di ottenere la restituzione dei file in 10 minuti.
Stando a quanto scrivono i ricercatori di SOphos, però, è molto probabile che la stessa proposta di restituzione dei file sia una truffa. Dalle loro analisi del malware, infatti, non risulta che a password sia memorizzata nel codice del ransomware o inviata in qualche modo ai suoi autori.
Insomma: è molto probabile che nemmeno loro abbiano il codice per decodificare i file e che le vittime che decidono di pagare il riscatto finiscano per non ottenere nulla. A meno che, in seguito al pagamento, gli scalcagnati pirati non si limitino a eseguire il crack dei file ZIP.
I test dei ricercatori Sophos, infatti, hanno verificato che gli archivi compressi possono essere decodificati utilizzando PKCRACK (scaricabile da qui) in appena 42 secondi. L’unico prerequisito è quello di avere a disposizione una copia integra di uno dei file crittografati.
Chi dovesse rimanere vittima di Filecode, quindi, può riottenere tutti i suoi file in una manciata di minuti attraverso un software gratuito.
Condividi l'articolo
Il trojan Dridex ora si diffonde con l’attacco “AtomBombing”
Estensione PGP per Gmail: ora E2EMail è open source
Articoli correlati
Altro in questa categoria
Approfondimenti
-
IA, QR Code e visori al servizio degli attaccanti: le... L’avvicinarsi della fine dell’anno coincide con... -
Carenza di competenze di cybersecurity: un quarto delle... Gli attacchi informatici crescono in numero e in... -
Black Friday ghiotto per il cybercrimine: in vendita 30... Yarix, divisione Digital Security di Var Group, ha... -
I trend delle minacce APT del 2024 Le minacce APT sono tra le più pericolose nel panorama... -
Black Friday e Cyber Monday: è il periodo delle truffe... Secondo l’ultima ricerca di Bitdefender, le truffe...
Minacce recenti
Off topic
-
Maythefourth: La caduta dell’Impero Galattico è... E se vi dicessimo che la saga di Star Wars ... -
Gli hacker e il cinema: i dieci migliori film secondo... Abbiamo rubato al blog di Kaspersky un vecchio pezzo di... -
Campione di scacchi blinda il PC. “Paura degli hacker” Il numero uno degli scacchi mondiali Magnus Carlsen ha... -
L’autore di fsociety pensa di essere Mr. Robot, ma è un... Il pirata informatico che ha creato il ransomware cerca... -
Yahoo sospende l’inoltro delle email. Paura di un esodo... Dopo la raffica di figuracce, l’azienda sospende per...
Post recenti
-
I cybercriminali nord-coreani combinano vecchie campagne... I gruppi di cyberattaccanti nord-coreani dietro campagne... -
Okta, altro che 1%: il breach ha colpito tutti gli utenti Okta, la società americana di gestione delle identità, ha... -
Google potenzia le difese contro lo spam con RETVec Google ha rilasciato RETVec, uno strumento open-source per... -
AWS presenta Amazon One Enterprise per autenticarsi col... Durante il re:Invent, la conferenza annuale di Amazon Web... -
Defender Application Guard for Office è ufficialmente... Microsoft ha annunciato che Defender Application Guard for...
Jargon room
Tutorial, guide e altre piccole idee per la sicurezza informatica
Ransomware: la serie
No posts found.
2 thoughts on “Filecode: il ransomware “Made in Italy” per Mac è un disastro”