Critoni Ransomware in vendita per $3000 in forum sotterranei, utilizza la rete di anonimato Tor per comunicare con il suo server C & C

Un nuovo ransomware chiamato Critoni è in vendita nei forum sotterranei. La specialità di questo ransomware è che utilizza la rete Tor per comunicare con il server di comando e controllo remoto. Questo anonimizza la comunicazione e rende quindi il ransomware indetectabile poiché i comandi passano attraverso i vari strati della configurazione di anonimizzazione Tor prima di raggiungere il server di comando e controllo.

Per i non iniziati, un ransomware è un malware che, una volta infettato il computer, cripta vari tipi di file, documenti, video e immagini con una chiave crittografata e poi ti chiede di pagare un riscatto per le chiavi per decrittografare i tuoi dati.

Il post che offre la vendita di Critoni è stato scoperto dal ricercatore di sicurezza francese Kafeine, che afferma che l’annuncio è attivo dalla metà di giugno 2014. Ha detto che il prezzo attuale per questo malware è di $3,000.00/ €2,220.00 / Rs.180,000.00.

Questo particolare malware è chiamato CTB-Locker (Curve-Tor-Bitcoin Locker) dai criminali informatici e Critoni.A da Microsoft. Critoni utilizza una crittografia persistente basata su curve ellittiche, il che renderebbe impossibile la decrittografia dei file; le chiavi vengono generate casualmente e non c’è rischio che due chiavi siano uguali. Se infettato, il riscatto deve essere pagato in bitcoin per prevenire la tracciabilità della transazione. Il ransomware fornisce anche un tutorial su come ottenere bitcoin attraverso il mercato se non ne possiede. Infatti, se la vittima è nuova alla rete di anonimizzazione Tor, fornisce anche tutorial su come scaricare Tor.

Secondo Kafeine, il post nel forum sotterraneo menzionava anche che il processo di crittografia potrebbe essere eseguito in assenza di connessione Internet, ma come potrebbe connettersi al suo server C & C in quel caso è una domanda. Kafeine riporta anche che Critoni è stato visto essere consegnato dal kit di exploit Angler, ma anche altre forme di attacco sono state rilevate in natura.

Un’altra caratteristica di Critoni è che, una volta scaduto il periodo di tempo stabilito per effettuare il pagamento del riscatto, il programma di blocco dei file si auto-elimina automaticamente e le vittime vengono offerte un’altra possibilità di recuperare i dati. Queste istruzioni sono fornite in un file TXT situato nella cartella Documenti.

Secondo esperti di sicurezza di Kaspersky, questo è il primo cryptomalware a utilizzare la rete Tor per anonimizzare la sua comunicazione con il server di comando e controllo. Questo tipo di protezione è stato generalmente visto in trojan bancari come il malware Zues.

In un rapporto su

Threatpost

, Fedor Sinitsyn di Kaspersky ha dichiarato: “Il codice eseguibile per stabilire la connessione Tor è incorporato nel corpo del malware. In precedenza, per malware di questo tipo, ciò veniva solitamente realizzato con un file Tor.exe. Incorporare le funzioni Tor nel corpo del malware è un compito più difficile dal punto di vista della programmazione, ma ha alcuni vantaggi, perché aiuta a evitare la rilevazione ed è più efficiente in generale.”

Utilizzare la rete Tor riduce il rischio di rilevamento e facilita ai criminali informatici la creazione di bitcoin attraverso le sfortunate vittime di Critoni.A