Come tutti noi, anche i criminali informatici amano godersi le feste, il che a volte si riflette nelle loro attività malevole.
Nel 2011 abbiamo visto il Panel trojan bancario Zeus – una interfaccia utente per macchine herding infettate da Zeus – con uno sfondo a tema natalizio. Questa volta i Forcepoint Security Labs hanno notato che la gang CryptXXX ha iniziato ad offrire sconti di Natale alle vittime in procinto di pagare un riscatto.
Conosciuto anche come UltraCrypter, CryptXXX è una delle specie di ransomware attive attualmente in circolazione. Lo scorso giugno abbiamo segnalato CryptXXX come un malware payload proveniente da un sito anime compromesso che reindirizzava in modo silenzioso sull’Exploit Kit Neutrino. Dopo aver infettato un sistema, CryptXXX visualizza più richieste di riscatto, come ad esempio la seguente:
Come abbiamo riportato in precedenza, CryptXXX richiede di solito un pagamento di riscatto di 1,2 Bitcoin (BTC) dalle vittime. Alle nuove vittime, invece, e’ attualmente offerto uno sconto Natalizio attraverso una finestra pop-up che invita a visitare uno dei siti di a pagamento basati su Tor. Il pop-up pubblicizza che il prezzo del riscatto BTC viene ridotto a 0,5, ossia circa 395 dollari al tasso di cambio corrente.
Al momento di chiudere il pop-up la pagina di pagamento standard viene visualizzata e la vittima può pagare l’importo scontato.
I Clienti Forcepoint sono protetti contro minacce come questa grazie a TRITON ACE nelle seguenti fasi di attacco:
Fase 4 (Exploit Kit) – landing pages che contengono un Exploit Kit e potrebbero installare CryptXXX vengono rilevate e bloccate.
Fase 5 (drop File) – i file binari eseguibili di CryptXXX sono riconosciuti e bloccati prima di essere scaricati sul computer di destinazione.
Conclusioni
Sebbene si potrebbe essere tentati dal pagamento di un riscatto scontato, è importante tenere a mente che il pagamento del riscatto ha comunque l’effetto negativo di motivare i cybercriminali a continuare le loro attività malevole. In alternativa, possiamo ridurre le probabilità di essere vittime di un ransomware attraverso un regolare backup dei file e un’attivita’ di sensibilizzazione alla sicurezza on-line.