Nuova variante del famoso virus CRYPTOLOCKER (è quel virus che cripta tutti i vostri documenti e poi chiede il riscatto per ottenere la chiave di decriptazione). La variante si chiama TeslaCrypt e secondo l’analisi di Bromium Labs colpisce i gamer di circa 40 giochi online, con lo scopo di truffare gli utenti più giovani.
Stando a quanto dicono gli esperti TeslaCrypt colpisce i file relazionabili con giochi e piattaforme di gaming come RPG Maker, League of Legends, Call of Duty, Dragon Age, StarCraft, MineCraft, World of Warcraft, World of Tanks e altri popolari giochi online.
Si tratta di uno schema già utilizzato e che si concentra su documenti, foto, video e altri file standard presenti sui dispositivi degli utenti.
Il ransomware sfrutta la crittografia AES per fare in modo che i giocatori non possano accedere ai file relazionati al gioco senza avere la chiave per decifrarli. Questa chiave può costare 500 dollari se si paga in Bitcoin o 1000 dollari se si paga con Pay Pal My Cash.
I cybercriminali inseriscono la minaccia all’interno dell’Exploit Kit Angler. Gli exploit kit sono essenzialmente pacchetti di software preconfezionati che hanno lo scopo di compromettere il sistema. In essi sono presenti exploit delle vulnerabilità di sicurezza comuni e, dal momento che quella dei software è una vera e propria industria, i cybercriminali possono pagare dei costi di licenza per accedervi.
Gli exploit kit consentono agli hacker di caricare malware sui dispositivi delle vittime. Per anni l’exploit kit più importante è stato BlackHole ma è caduto in disgrazia dopo l’arresto in Russia del suo sviluppatore. Nell’ultimo anno e mezzo, Angler è entrato in scena per colmare questo vuoto, e ha la capacità di integrare anche gli attacchi zero day di ultima generazione agli exploit delle vulnerabilità.
Dopo l’infezione, il malware modifica lo sfondo del computer per mostrare all’utente un messaggio in cui viene informato che i suoi dati sono stati criptati. Il messaggio contiene istruzioni su come fare per acquistare la chiave privata e per decifrare i file. La procedura implica anche scaricare Tor Browser Bundle. Un particolare interessante: c’è un sito Internet di servizi nascosto dove gli utenti colpiti dal malware possono ricevere assistenza tecnica dai creatori del ransomware per effettuare il pagamento e decifrare i file. Nel messaggio è presente anche una scadenza, passata la quale la chiave privata viene distrutta e dopo sarà impossibile recuperare i file.
