CryptoWall 4.0, la novità in tema Ransomware del 2016

L’inizio dell’anno è sempre un momento di svolta, cerchiamo di capire da che parte andrà il mondo, di prepararci a tendenze e strategie nuove in modo da restare sempre sulla cresta dell’onda, sappiamo tutti quanto sia importante in ambito IT essere aggiornati ed efficienti.

Come noi, anche i nostri amici Crackers, non gli sfiziosi snack salati, bensì la forma più ostile e malintenzionata di Hackers, cercano di restare sempre sulla scena sviluppando nuove varianti e migliorandosi, proponendoci virus nuovi e quindi stimoli nuovi, noi per questo li ringraziamo. Grazie Crackers!

Evidentemente non si sono accontentati dei 325 milioni di dollari raccolti con i riscatti solo nel 2015 e parliamo solamente del team Cryptowall, poi c’è Cryptolocker e CTB-Locker, sono cugini e giustamente hanno conti correnti diversi.

Insomma, in questo primo mese del 2016 sembra confermato che la tendenza del momento si chiami Cryptowall 4, che ha iniziato ad apparire sulle nostre caselle nel Novembre dello scorso anno (non che gli altri Ransomware siano spariti, intendiamoci).  Anche se il nome non lascia intravedere nessuna particolare spinta verso innovazione ed originalità, questo nuovo amico aggiunge alle precedenti versioni diverse pungenti novità, senza dubbio ben pensate e che fanno un po’ sfumare tutti gli sforzi fatti fino ad oggi per trovare rimedi contro le versioni precedenti.

In questa quarta versione il metodo di crittografia e la capacità di evasione degli antivirus sono estremamente migliorate rispetto la precedente, unitamente anche ad una maggiore attitudine nell’aggirare i controlli Sandbox, nascondendo quindi i comportamenti malevoli nel momento in cui dovesse accorgersi di non essere approdato su un vero a proprio client Windows.

Tuttavia contrariamente a quanto si sostiene in alcuni articoli, il tunnel di comunicazione utilizzato dal malware per richiedere la chiave privata di cifratura al server C&C, è il medesimo utilizzato dalla versione 3, di conseguenza tramite la stessa firma è possibile bloccare questa comunicazione, ammesso e concesso che non vada a coinvolgere alcuni servizi leciti che invece devono essere pubblicati.

Gli strumenti a nostra disposizione sono sempre gli stessi, nessuno perfetto ma comunque sempre loro, Antivirus, IPS, Anti-Bot, la scelta può fare la differenza.

Gli effetti sono sempre quelli, va precisato che a differenza del CTB-Locker, questo cripta anche il nome del file e non solo il contenuto, rende quindi più difficile identificare i file su quali vale la pena concentrare gli eventuali sforzi e sicuramente ancora più frustrante la visione complessiva dello scenario.

Le difficoltà continue sia sulla prevenzione che sul ripristino stanno spingendo le aziende ad organizzare dei corsi a tutto il personale interno sulle Best Practices da tenere in considerazione sull’utilizzo del posta elettronica.

Quest’ultima è un’attività (potenzialmente) efficace e che personalmente condivido molto, perché l’utente, non per volontà ma per natura, sarà sempre una minaccia alla sicurezza dei sistemi informatici e lavorare anche su di esso porterà benefici significativi da molteplici punti di vista.

Con l'occasione ti consiglio di scaricare questa guida, nella quale abbiamo descritto nel dettaglio tutte le funzioni che oggi ad un antispam non possono assolutamente mancare, perchè sono necessarie e come valutare la qualità del tuo sistema di controllo della posta elettronica.