Facciamo un accordo: gli hacker russi disposti a scendere a compromessi

[ware_item id=33][/ware_item]

affare con hacker russi


È questo il nuovo volto del malware? Secondo un recente articolo di Geek, invece di nascondersi dietro un indirizzo e-mail generato casualmente per i trasferimenti di bitcoin, i creatori di malware Troldesh hanno richiesto alle vittime di contattarli direttamente per i dettagli di pagamento. La società di sicurezza Checkpoint ha fatto esattamente questo e è riuscita a contrattare il gruppo da 250 euro a soli 7000 rubli.

Questa non è la prima volta che nelle ultime settimane i creatori di malware mostrano una misura di umanità; come notato da Network World, il creatore del ceppo ransomware "Locker" si è scusato con PasteBin per scusarsi e poi ha automaticamente decifrato automaticamente tutti i file crittografati. Forse i progettisti di malware sono solo, o forse il mercato è così saturo di infezioni che la compassione è l'unico modo per distinguersi tra la folla. Non importa il caso, tuttavia, fa ben sperare per le vittime. Apparentemente anche i cattivi offrono buoni affari quando vengono premuti.

Parliamo

Tutto è iniziato quando Natalia Kolesova di Checkpoint ha deciso di creare un PC di prova e di consentire consapevolmente l'infezione da parte del ransomware Troldesh. Il malware in sé non è particolarmente nuovo o interessante; sfruttando il successo di Cryptolocker e la sua progenie, Troldesh esegue la scansione di un sistema infetto alla ricerca di file che potrebbero contenere dati o immagini personali, come documenti finanziari, foto e video. Questi file vengono quindi crittografati e viene visualizzato un messaggio di avviso in cui sei stato bloccato insieme ai dettagli su come effettuare il pagamento.

Nel caso di Troldesh, tuttavia, è stato fornito un indirizzo Gmail per consentire alle vittime di contattare e richiedere i dettagli di pagamento. In posa come "Olga", Kolesova ha contattato i designer di Troldesh e le è stato detto che doveva pagare 250 euro per la decodifica. Fu anche diretta ad allegare un singolo file crittografato che avrebbero decifrato gratuitamente per provare che stavano agendo in buona fede. Invece di fornire il pagamento, Kolesova ha allegato il file e riscritto, sostenendo che non poteva permettersi il riscatto poiché il suo lavoro pagava solo € 250 al mese. Sorprendentemente, gli aggressori non solo decifrarono il file come promesso, ma risposero con un'offerta migliore: per soli 12.000 rubli, tutti i file sarebbero stati rilasciati, il che equivale a uno sconto del 15% sul prezzo originale.

Ma "Olga" ha fatto un ulteriore passo avanti. Dopo aver trascorso il suo tempo, ha scritto di nuovo, supplicando gli hacker di rilasciare i suoi file gratuitamente. La loro risposta? Se avesse accettato di pagare 7000 rubli, solo il 50 percento della domanda originale, tutti i suoi file sarebbero stati decifrati. Ovviamente, Checkpoint non li ha recepiti nella generosa offerta e ha invece pubblicato i risultati: improvvisamente, gli hacker sono disposti a trattare.

Mercato in evoluzione

Allora perché passare alle discussioni sulla distruzione totale? In gran parte è perché il mercato dei malware e dei ransomware sta cambiando. Gli utenti hanno familiarità con la maggior parte dei tipi di ransomware e non li spaventa allo stesso modo di cinque anni fa: molti navigano anche in modo anonimo, utilizzano servizi VPN sicuri e sono molto esperti sul tipo di allegati che aprono e sui file che scaricano. In altre parole, non c'è proprio tanta paura. Ciò ha portato allo sviluppo di nuovi vettori di minacce; ad esempio, a marzo la BBC ha riferito su Teslacrypt, che ha preso di mira in particolare i videogiochi, crittografando i giochi salvati dai giocatori e altri dati fino a quando non hanno pagato un riscatto.

C'è anche il ransomware Tox, che consente agli aspiranti hacker di creare facilmente una "piattaforma di ransomware personalizzata". Due settimane fa, il malware si è fatto strada sul Web e una settimana dopo la piattaforma malware come servizio è "esplosa", secondo il suo creatore, il quale afferma di non essere un genio black-hat ma solo uno studente adolescente - e ora vuole vendere la piattaforma perché "la situazione sta diventando troppo calda per me da gestire". Come notato sopra, il creatore di Locker ha preso la stessa strada: creare qualcosa di contagioso e popolare e poi rapidamente inchinarsi.

Quindi da dove viene questo ransomware? In uno stato di flusso. Nuovi ceppi — e strumenti per la rimozione — vengono sviluppati a rotta di collo. Il risultato è una specializzazione del codice insieme a una volontà da parte degli hacker di trattare, dal momento che le vittime non si limiteranno a rotolare e pagare più. Se Troldesh è un'indicazione, il futuro del ransomware potrebbe assomigliare più alla contrattazione che alla presa di ostaggi.

Facciamo un accordo: gli hacker russi disposti a scendere a compromessi
admin Author
Sorry! The Author has not filled his profile.