Il ransomware che terrorizzò il web nel 2016 riappare con una nuova interfaccia grafica, nuove funzionalità e un nuovo nome.

Le tecnologie informatiche e le nuove scoperte in ambito cybersecurity hanno subito un’evoluzione non indifferente nell’ultimo decennio.
Lo stesso discorso vale per i ransomware e per i loro creatori. Ormai si è capito che il mercato più redditizio è quello delle doppie estorsioni scatenate su scala mondiale, oltre a quello delle criptovalute.

CryptXXX ransomware

Uno di questi attori destò scalpore nel 2016, quando si presentò al mondo con il nome di CryptXXX e si dimostrò capace non solo di estrarre dati sensibili da un sistema all’altro, ma di criptare tutto il contenuto di quello infettato in poco tempo.
A distanza di quasi dieci anni dalla sua scoperta analizziamo insieme cosa si cela dietro questa pericolosissima minaccia giunta dal profondo del dark web.

Le origini di CryptXXX ransomware

Scoperto per la prima volta dai ricercatori di Proofpoint il 15 aprile 2016, CryptXXX è un crypto-ransomware appartenente all’ondata Wannacry diffusasi nel corso dello stesso anno. Tuttavia, a differenza dei suoi simili, questo tipo di ransomware non è né subdolo, né adotta tattiche di camuffamento.
Fa di tutto per non passare inosservato, in quanto la sua strategia è di richiamare l’attenzione dell’utente per poi dare inizio all’estorsione.
Creato da un team identificato come RANSOM_WALTRIX.C, che si sospetta essere lo stesso autore del malware Reventon, CryptXXX si è reso noto per la rapidissima diffusione che ha avuto nel corso della sua esistenza e per i tempestivi aggiornamenti che venivano rilasciati dai suoi creatori, atti a potenziare il suo algoritmo di cifratura.

Si stima che in un solo anno sia stato capace di penetrare nei sistemi di ben 25 Paesi, generando al tempo stesso alcune pericolose varianti, come CryptoWall, Jigsaw, Cerber, e TeslaCrypt. Ma non solo, in quanto i suoi creatori si spacciavano per autorità, come FBI, o USA Cybercrime Center, che accusavano le vittime di aver infranto svariate leggi informatiche. La più abusata era l’aver visionato materiale pornografico illegale.
La sua diffusione è avvenuta principalmente tramite crack di software pirata, finti aggiornamenti software, reti peer-to-peer come Torrent e gli immancabili allegati alle e-mail di phishing.

Come funziona CryptXXX?

CryptXXX è un ransomware dal funzionamento interessante, in quanto sfrutta l’exploit kit Angler per infettare i dispositivi che impiegano Windows come sistema operativo. Il modus operandi per l’infezione segue le solite regole applicate anche agli altri ransomware del genere: sito web compromesso con server C&C piazzato nel mezzo, oppure mediante le classiche campagne di phishing condotte con strategie di ingegneria sociale.
Quando un utente è abbastanza incauto da cascare nella trappola, scarica all’interno del proprio sistema CryptXXX.

Insinuatosi nel computer della vittima, il ransomware da inizio alla criptazione dei file presenti nello storage.
La cosa è puramente voluta dagli stessi criminali, in quanto si tratta di una strategia atta a confondere le vittime e rendere difficoltosa la ricerca del sito web che lo ha diffuso nel sistema. L’algoritmo di criptazione impiegato da CryptXXX è il sempreverde RSA-4096, poiché dotato di criptazione simmetrica e asimmetrica, con tanto di estensione personalizzata .crypt.

Ma non è tutto, in quanto, a processo ultimato, il ransomware rilascia tre ulteriori file:

de_crypt.bmp
de_crypy.html
de_crypt_readme.txt

Questi sono copiati all’interno delle cartelle contenenti i file criptati e tutti hanno la stessa funzione: informare la vittima che il drive di sistema è stato interamente criptato col sopracitato algoritmo RSA-4096 e l’estorsione monetaria per ottenere la chiave di decriptazione.
Nella stragrande maggioranza dei casi verificatisi, la cifra richiesta dai cybercriminali è l’equivalente di 500 dollari in Bitcoin, destinati a raddoppiare se il riscatto non viene pagato entro 90 ore dall’infezione.

L’unica maniera che l’utente ha per mettersi in contatto con i suoi estorsori, è installare il browser Tor e seguire quanto riportato all’interno del file de_crypt.txt, che funge da vero e proprio manuale di istruzioni. Al suo interno è fornito un link per accedere al sito web dei cybercriminali in formato onion e le procedure dettagliate per effettuare il pagamento del riscatto.
Ma le cose non finiscono qui, in quanto CryptXXX non si limita solo a criptare lo storage delle sue vittime. Mediante un modulo scritto parzialmente in JavaScript il ransomware è in grado di effettuare una scansione del sistema, per dare la caccia ai portafogli di criptovalute memorizzate sullo stesso.

La famigerata versione 3.0

Come detto in fase di introduzione, CryptXXX è balzato agli onori della cronaca per la sua rapidissima diffusione e per una serie di migliorie che i suoi creatori apportavano. La maggior parte delle vittime decise di non scendere a compromessi con i cybercriminali, preferendo trovare una soluzione alternativa per sbloccare i propri file criptati.
Una soluzione giunse da parte di Kaspersky nel giugno 2016, quando l’azienda rilasciò un tool gratuito per decriptare i file .crypt creati dal ransomware.
Da quel momento tutti gli utenti caduti vittima del virus poterono recuperare tutto ciò che era stato criptato in maniera del tutto gratuita.

Tuttavia, il team RANSOM_WALTRIX.C non rimase con le mani in mano. Infatti, rilasciò un massiccio aggiornamento di CryptXXX, che lo portò alla versione 3.0. Questa presentava un gran numero di cambiamenti rispetto alla precedente, tra cui si citano:

– miglioramento dell’algoritmo di criptazione
– cambio dell’estensione dei file criptati in .crypt1
– sostituzione dello sfondo del desktop con un’immagine del rinnovato sito di pagamento Tor

Cambiò inoltre il metodo di rilascio della chiave di criptazione.
I cybercriminali avevano infatti messo a punto un vero e proprio software di decriptazione, chiamato UltraDeCrypter, acquistabile mediante la criptovaluta richiesta dal riscatto.
Ciò rese nota una triste verità: l’aggiornamento di CryptXXX aveva reso obsoleto e inutilizzabile qualsiasi software di decriptazione gratuito rilasciato in rete.

Come proteggersi dai ransomware come CryptXXX?

Una procedura univoca per prevedere un attacco da parte di un crypto-ransomware che segue le orme di CryptXXX, è pressoché impossibile, ma restano sempre dei consigli su come evitare una sua possibile infezione e mitigare i danni.

Aggiornare sempre e costantemente i software di sistema e i protocolli di sicurezza.
Ci si deve assicurare che la propria organizzazione e i clienti ad essa associati adottino robuste politiche di sicurezza. Tutti i sistemi, l’hardware e i software in uso devono essere costantemente aggiornati con puntualità. Ciò riduce di molto le possibilità di un’infezione da ransomware.

Adottare una soluzione di filtraggio e-mail efficace.
Poiché questo tipo di ransomware sfrutta come entry point la posta elettronica, è obbligatorio adottare un filtro in grado di rilevare e-mail di spoofing, phishing e contenenti file malevoli sin dal principio.

Implementare un piano di monitoraggio degli endpoint affidabile.
Senza alcun endpoint sicuro e monitorato, i cybercriminali possono identificare immediatamente le vulnerabilità presenti nella rete della compagnia. Una rete con endpoint rafforzati e monitoraggio costante scoraggia i collettivi a tentare un attacco e permette all’organizzazione di individuare potenziali falle in maniera proattiva.

Istruire i propri clienti alle migliori pratiche e limitare i loro privilegi utente.
L’infiltrazione mirata ad un attacco non avviene tramite l’azienda stessa, ma tramite i clienti ad essa associati, che rappresentano i soggetti più esposti a tali pratiche. Per cui è necessario doverli istruire con pratiche di sicurezza base e spingerli all’uso dell’autenticazione in due fattori sui loro dispositivi. Questo non solo permette alla propria organizzazione di rafforzare la propria cybersecurity, ma aiuta anche i clienti a proteggersi.

Effettuare un backup del database e dei propri servizi online.
Le operazioni di backup sono sempre una delle migliori soluzioni per mitigare i danni e non perdere le informazioni sensibili dei propri clienti. Tuttavia, l’immagine di ripristino risultante deve essere conservata su un server lontano dalla rete principale, in quanto una sua eventuale compromissione vanificherebbe tutti gli sforzi condotti.

In conclusione

La storia dell’informatica ci insegna che le tecnologie cambiano in continuazione, ma i modus operandi per trarre profitto dai meno esperti e da chi non presta attenzione a ciò che fa con un computer, restano sempre gli stessi. Ecco perché è essenziale restare costantemente aggiornati sulle ultime novità in fatto di sicurezza informatica, proprio per provare a prevedere la possibile mossa dei malintenzionati e studiare la loro evoluzione nel tempo.
La nostra collettività merita di essere protetta e siamo noi, nel nostro piccolo, a fare la differenza.

Questo è il motivo per cui si è sempre invitati a restare vigili e a non abbassare mai la guardia. Anche il più innocuo dei file può rivelarsi una bomba a orologeria ed è solo questione di tempo prima che un nuovo CryptXXX si manifesti sulla scena cybercriminale.