Una variante del ransomware TorrentLocker prende di mira gli utenti giapponesi

Table Of Contents

• Una variante del ransomware TorrentLocker scritta per prendere di mira specificamente gli utenti giapponesi
• Informazioni su TorrentLocker
• L’attacco

Una variante del ransomware TorrentLocker scritta per prendere di mira specificamente gli utenti giapponesi

Una nuova variante del ransomware TorrentLocker è stata trovata dagli esperti di sicurezza di Symantec sfruttata in natura. Questo è il primo caso segnalato di un ransomware che prende di mira specificamente gli utenti in Giappone. Anche se il Giappone non è nuovo ai ransomware, mai prima d’ora un criminale informatico aveva tentato di attaccare gli utenti giapponesi in modo così specifico. I ricercatori di Symantec affermano che questo ransomware è una variante localizzata di TorLocker. Il malware cripta i file con determinate estensioni sul computer compromesso e richiede che l’utente paghi per decriptare i file. I ricercatori di Symantec hanno anche confermato che ci sono più varianti di questo particolare ransomware giapponese.

Informazioni su TorrentLocker

Questo nuovo tipo di ransomware è un parente di CryptoLocker e CrptoWall e comunica con il suo server di comando e controllo utilizzando la rete di anonimizzazione Tor. TorrentLocker utilizza temi e nomi presi da CryptoLocker e CryptoWall, ma è molto diverso a livello di codice ed è considerato un nuovo ceppo di ransomware. Il malware si connette prima a un server di comando e controllo (C&C) tramite comunicazioni sicure e scambia un certificato prima di criptare il malware. Il malware utilizza l’algoritmo Rijndael per la crittografia dei file. Questo è un cifrario simmetrico e utilizzerà una password memorizzata localmente o recuperata dal server degli attaccanti remoti per la crittografia.

L’attacco

I ransomware si diffondono generalmente attraverso quanti più mezzi possibile cercando di infettare utenti ignari, tuttavia il mezzo preferito dai criminali informatici è il phishing mirato. Il malware è contenuto in un’email innocua come allegato che la vittima scarica pensando sia un file genuino. Una volta che un ransomware è stato scaricato su una macchina, inizia a criptare tutti i file che gli è stato ordinato di fare tramite programma e richiede un pagamento – solitamente in Bitcoin – per decriptare i file, rendendo così i dati dell’utente un ostaggio. Questo particolare ransomware funziona anche allo stesso modo con l’aggiunta che tutte le istruzioni sono scritte in giapponese.

TorLocker è stato utilizzato in attacchi ransomware in tutto il mondo. La minaccia fa parte di un programma di affiliazione, dove l’operatore del programma fornisce ai partecipanti il builder per creare ransomware personalizzati, accesso al pannello di controllo di TorLocker per monitorare le infezioni e file vari da utilizzare in combinazione con il malware. In cambio, i partecipanti danno una parte del profitto dall’attacco all’operatore del programma di affiliazione.

Il malware si diffonde tramite la pagina di phishing come mostrato nell’immagine sopra, che visualizza una falsa pagina di installazione di Adobe Flash Player. Se un utente clicca sul link giallo per scaricare questo falso Flash Player, viene invitato a scaricare ed eseguire un file di installazione per installare il plugin. Tuttavia, il file non è firmato digitalmente, né contiene l’icona tipica utilizzata negli installer di Flash Player. Questi due fatti suggeriscono che si tratta di un’applicazione carica di malware falsa che solo utenti attenti saranno in grado di riconoscere. Una volta che il file è stato scaricato e installato, il ransomware inizia a criptare i dati dell’utente.

Una volta che il malware ha terminato il suo lavoro, questa schermata viene mostrata all’utente. Il messaggio chiede quindi all’utente di pagare per sbloccare i propri file. Il riscatto richiesto varia da 40.000 yen a 300.000 yen (circa 500 a 3.600 dollari USA). Il Giappone si avvicina rapidamente alle festività di Capodanno, che è un momento opportuno per i criminali informatici per colpire. L’attaccante probabilmente vuole sfruttare al massimo gli utenti ignari che navigano su Internet.

Symantec ha le seguenti raccomandazioni per evitare o mitigare le infezioni da ransomware:

• Aggiornare il software, il sistema operativo e i plugin del browser sul computer per prevenire che gli attaccanti sfruttino vulnerabilità note.

• Utilizzare software di sicurezza completo, come Norton Security, per proteggersi dai criminali informatici.

• Eseguire regolarmente il backup di qualsiasi file memorizzato sul computer. Se il computer è stato compromesso da ransomware, questi file possono essere ripristinati una volta rimosso il malware dal computer.

• Non pagare mai il riscatto. Non c’è garanzia che l’attaccante decripterà i file come promesso una volta ricevuto il pagamento.