ISERNIA. Bentrovati. Una guerra senza quartiere, silenziosa e nascosta agli occhi dei media, viene combattuta ogni giorno tra coloro che sfruttano le conoscenze informatiche per danneggiare il prossimo e coloro che, invece, ricercano continuamente soluzioni per contrastare attacchi telematici sempre più articolati e devastanti. Chi pone in essere un’aggressione informatica cerca di realizzare virus sempre più complessi e inattaccabili, capaci di creare danni irreparabili. I ransomware ne sono l’esempio principe: mentre i primi virus si limitavano ‘semplicemente’ a provocare un malfunzionamento del sistema operativo, i ransomware sono, invece, capaci di rendere illeggibili i dati dell’utente, costringendo la loro vittima a pagare un riscatto pur di riavere indietro le sue preziose informazioni personali. Tuttavia, chi ha creato questa nuova minaccia, tende sempre a perfezionarla, aggiungendovi di continuo nuove e pericolose capacità.
Simili evoluzioni hanno portato alla nascita di ‘Manamecrypt’. La minaccia, conosciuta anche come ‘CryptoHost’, è stata identificata e studiata, per la prima volta, dai laboratori della G Data Security. Il nuovo virus è in grado non solo di cifrare i file dell’utente, ma anche di bloccare automaticamente il funzionamento di determinate applicazioni. Gli esperti della G Data Security hanno, inoltre, scoperto che Manamecrypt si diffonde in un modo decisamente atipico per un ransomware: in ‘bundle’, ossia insieme a software del tutto legittimi. Il ransomware, infatti, si installa attraverso una versione funzionante di ‘µTorrent’, noto programma utilizzato dagli utenti di internet per condividere (e scaricare) giochi, musica e film. Manamecrypt si serve, quindi, di uno stratagemma alternativo per ingannare l’utente: invece di utilizzare, (come tutti gli altri ransomware) un allegato e-mail o un ‘exploit-kit’, i suoi creatori hanno pensato (bene) di ‘infettare’ l’installer di un software molto noto e diffuso. Per evitare, poi, di essere facilmente individuato e per accrescere ulteriormente l’esasperazione delle sue vittime, egli è dotato anche di un particolare sistema di autodifesa, capace di bloccare alcuni processi predefiniti, soprattutto quelli dei più famosi antivirus e dei più popolari tools di sicurezza informatica. Queste caratteristiche lo rendono, perciò, ‘anomalo’ e, al contempo, ne costituiscono i punti di forza.
Un simile trojan sarebbe davvero temibile e molto pericoloso se non fosse per una grave vulnerabilità che ne inficia (fortunatamente) il funzionamento. Il punto debole del Manamecrypt consiste nel modo in cui esso crittografa i file: i documenti vengono crittografati in semplici file ‘.rar’ protetti da password; password che, secondo gli analisti della G Data Security, sarebbe sempre composta dal nome dell’archivio stesso e dal nome dell’account utente di windows. Mentre gli altri tipi di ransomware crittografano i file delle loro vittime con chiavi crittografiche particolarmente forti e diverse per ogni file, Manamecrypt segue una procedura ‘standard’, uno schema ricorrente che, alla fine, permette di sbloccare i file presi in ostaggio.
Per il momento, anche questa nuova minaccia può essere facilmente evitata osservando le tradizionali regole di sicurezza informatica: cioè aggiornando i programmi utilizzati (compreso il sistema operativo); utilizzando antivirus sempre aggiornati nelle loro definizioni; eseguendo periodici backup dei dati; non aprendo e-mail e allegati sospetti; ma, soprattutto, evitando di scaricare e installare programmi da siti non istituzionali. Manamecrypt ha concretamente dimostrato che chi crea e diffonde i ransomware sta pensando a nuovi veicoli di infezione, a nuovi modi per aggirare le difese, ma anche a sistemi di protezione che, in qualche modo, riescano a disabilitare i programmi posti a difesa degli utenti. Anche se non produce effetti particolarmente devastanti, è comunque consigliabile non sottovalutare mai una nuova minaccia, soprattutto se essa può sempre ricomparire in rete, in una nuova versione, rivisitata e corretta da ogni tipo di vulnerabilità.
I-Forensics Team
