Il tramonto di TeslaCrypt
Articolo pubblicato su "Il Quotidiano del Molise" del 06-06-2016
Articolo pubblicato su "www.isernianews.it" il 28-05-2016
(Ricattatori redenti)
Ben trovati nella nostra settimanale rubrica di sicurezza informatica. Questa volta apriamo l’articolo con una bella notizia che sta rimbalzando da sito a sito, da forum a forum: la “redenzione” (se così possiamo chiamarla) degli autori di “TeslaCrypt”! TeslaCrypt è (o meglio, era) un ransomware trojan, uno di quei pericolosi malware in grado di crittografare i file dell’utente chiedendo, per la loro “liberazione”, un vero e proprio riscatto.
Nelle sue primissime versioni, Tesla colpiva diversi giochi per computer, titoli come “Call of Duty”, “World of Warcraft” e “Minecraft”, crittografando profili personalizzati, mappe e gli stessi salvataggi del gioco. Successivamente, furono diffuse versioni in grado di colpire file “.pdf”, “.doc”, “.jpeg”, utilizzando vulnerabilità di “Adobe Flash Player”. Anche se assomiglia al virus “CryptoLocker” nella forma e nel funzionamento, TeslaCrypt ha un proprio codice, sviluppato in modo indipendente rispetto a tutti gli altri precedenti ransomware.
I ricercatori Cisco del gruppo “Talos” scoprirono che la prima versione di Tesla utilizzava un tipo di crittografia conosciuta come “Crittografia Simmetrica”, relativamente semplice da vincere. Furono, così, immediatamente diffusi tools decrittografici in grado di annullarne gli effetti. I criminali corsero ai ripari sviluppandone una versione successiva, conosciuta come “TeslaCrypt 2.0”, molto più forte della precedente e per la quale non si riuscì a trovare alcuna soluzione.
Nel novembre del 2015, tra gli ambienti dei ricercatori Kaspersky, che operano nel ramo della sicurezza informatica, iniziarono a circolare voci di una non meglio definita vulnerabilità, capace di compromettere il cryptovirus. Queste voci rimasero tali e non portarono ad alcuna soluzione. All’inizio del 2016, fu diffusa in rete un’ultima versione di Tesla, la “3.0”, praticamente inattaccabile.
Poi, qualche settimana fa, la svolta! Un ricercatore di ESET ha contattato gli autori di Tesla, fingendosi una vittima e chiedendone la chiave. Con grande sorpresa, i criminali gli hanno, invece, consegnato una chiave universale; chiave che ha permesso al ricercatore di creare un apposito tool, gratuito e liberamente scaricabile, col quale recuperare tutti i dati che sono ancora in ostaggio della codifica del ransomware! La “Master Key” permette di decriptare i file colpiti dalle ultime varianti del virus, e cioè quelle che aggiungono ai file crittografati le estensioni “.xxx”, “.ttt”, “.micro”, “.mp3” ed anche l’ultima variante senza estensione!
Questo nuovo tool segue ed accompagna quello rilasciato qualche settimana fa da Kaspersky per recuperare i dati criptati da “CryptXXX”, altro tipo di ransomware che sta girando molto proprio in questi giorni. Una redenzione? Un miracolo? Un litigio interno? O semplicemente un errore? Quanto accaduto resta un vero e proprio mistero, anche se, in verità, già da qualche tempo, i ricercatori stavano registrando un drastico calo nella diffusione di TeslaCrypt.
Conoscendo il mondo dei cybercriminali e dei malware, è anche probabile che questa “resa” sia soltanto apparente e che qualcuno stia già ideando una nuova minaccia, capace di superare per efficacia, danni e profitti gli ormai popolarissimi e diffusissimi ransomware. Tuttavia, almeno per il momento, godiamoci i festeggiamenti ed affrettiamoci a liberare tutti i nostri dati che sono stati crittografati dal Tesla e che abbiamo conservato (fino a ieri) nella speranza di un “miracolo” che li rendesse nuovamente leggibili ed utilizzabili.
Quanto accaduto dimostra anche che il mondo della sicurezza informatica, abitato da cybercriminali, cracker, hacker, webmaster e IT Security Manager, in continua lotta fra di loro, è un universo “liquido”, in continua trasformazione ed evoluzione; un mondo dove le conoscenze sono in costante trasformazione e dove non esiste alcuna stabilità o certezza. Tale realtà richiede riflessi pronti ed adattamenti continui, sia da parte di chi pone in essere un attacco informatico, che da parte di colui che è chiamato a difendere sistemi ed informazioni, in modo da controbattere efficacemente e vincere sul tempo l’avversario!
I-Forensics Team
VISUALIZZA l'articolo sul "Il Quotidiano del Molise" <- - - - - - - > VISUALIZZA l'articolo su "IserniaNews