GandCrab

Il ransomware GandCrab è un tipo di malware che cripta i file delle vittime e richiede il pagamento di un riscatto per poter accedere nuovamente ai loro dati. GandCrab prende di mira i consumatori e le aziende con PC che eseguono Microsoft Windows.

.st0{fill:#0D3ECC;} DOWNLOAD MALWAREBYTES GRATUITO

Anche per Windows, iOS, Android, Chromebook e Per gli affari

Il 31 maggio 2019 i criminali informatici dietro il ransomware GandCrab hanno fatto qualcosa di insolito nel mondo del malware. Hanno annunciato la chiusura delle operazioni, lasciando potenzialmente sul tavolo milioni di dollari.

"Tutte le cose belle arrivano alla fine" hanno scritto in un post autocelebrativo apparso su un noto forum di criminalità informatica. Dal lancio nel gennaio 2018, gli autori di GandCrab hanno affermato di aver incassato oltre 2 miliardi di dollari in pagamenti illeciti di riscatti e che era giunto il momento "per una meritata pensione".

"Abbiamo incassato con successo questo denaro e lo abbiamo legalizzato in varie sfere del business bianco sia nella vita reale che su Internet", continua il post. "Abbiamo dimostrato che facendo azioni malvagie, la punizione non arriva".

I partner affiliati, che hanno contribuito a diffondere il ransomware per una parte dei profitti, sono stati incoraggiati a chiudere le operazioni, mentre alle vittime è stato detto di pagare subito o di perdere per sempre i loro dati criptati.

Il post si conclude con un breve ringraziamento a tutti i membri della comunità degli affiliati per "tutto il duro lavoro".

Pur essendo un divertente vanto umile, rimangono diverse domande senza risposta. I creatori di GandCrab hanno davvero guadagnato tutti i soldi che hanno detto di aver guadagnato? Chi sono questi ragazzi e si stanno davvero ritirando? E soprattutto, il ransomware GandCrab è ancora una minaccia per i consumatori?

In questo articolo cercheremo di rispondere a tutte queste domande persistenti, di fornire risorse alle vittime e di mettere un epilogo alla storia di GandCrab.f

Che cos'è GandCrab?

Osservato per la prima volta nel gennaio 2018, il ransomware GandCrab è un tipo di malware che cripta i file delle vittime e richiede il pagamento di un riscatto per poter accedere nuovamente ai propri dati. GandCrab prende di mira i consumatori e le aziende con PC che eseguono Microsoft Windows.

Il nome "GandCrab", che ricorda una malattia sessualmente trasmissibile, potrebbe far pensare che abbia a che fare con la natura infettiva del ransomware e la sua propensione a diffondersi nelle reti aziendali. Secondo ZDNet, tuttavia, il nome di GandCrab potrebbe derivare da uno dei suoi creatori che si fa chiamare "Crab" o "Gandcrab".

GandCrab non infetta macchine in Russia o nell'ex Unione Sovietica, un forte indicatore del fatto che l'autore o gli autori hanno sede nella regione. Non si sa molto altro sul gruppo di GandCrab.

GandCrab segue un modello commerciale di marketing affiliato, noto come Ransomware-as-a-Service (RaaS), in cui i criminali informatici di basso livello fanno il lavoro pesante di trovare nuove vittime, mentre gli autori della minaccia sono liberi di armeggiare e migliorare la loro creazione.

Le aziende legittime utilizzano continuamente modelli di affiliazione, in particolare Amazon. Per esempio, supponiamo che abbiate un blog in cui recensite prodotti elettronici - pensiamo a cuffie, smartphone, laptop, computer, ecc. Ogni recensione include un link unico che consente ai visitatori di acquistare l'articolo in questione su Amazon. In cambio dell'invio del cliente su Amazon, ricevete una percentuale su purchase price.

Per quanto riguarda GandCrab, gli autori della minaccia regalano la loro tecnologia ad altri criminali informatici intraprendenti (cioè agli affiliati). Da lì spetta agli affiliati capire come trovare nuovi clienti (cioè vittime). I riscatti pagati vengono divisi tra l'affiliato e la banda di GandCrab 60/40 o fino a 70/30 per gli affiliati più importanti.

Il giornalista di cybersecurity Brian Krebs riferisce che un top ha guadagnato 125.000 dollari in commissioni nel corso di un mese.

Utilizzando il modello di affiliazione, i criminali con un know-how tecnico limitato sono in grado di partecipare all'azione del ransomware. E con i criminali di basso livello responsabili della ricerca e dell'infezione delle macchine, i creatori di GandCrab possono concentrarsi sulla revisione del loro software, sull'aggiunta di nuove funzionalità e sul miglioramento della tecnologia di crittografia. Complessivamente, esistono cinque diverse versioni di GandCrab.

Al momento dell'infezione, le note di riscatto vengono posizionate in modo evidente sul computer della vittima, indirizzandola a un sito web sul sito web Dark Web (la parte nascosta del web per cui è necessario un browser speciale).

Atterrando sulla versione in lingua inglese del sito, alle vittime viene mostrato il messaggio pieno di errori di battitura "WELCOME! SIAMO SPIACENTI, MA TUTTI I VOSTRI FILE SONO STATI INFETTATI!".

Le versioni successive del sito Web del riscatto presentano Mr. Krabs dello show animato per bambini "Spongebob Square Pants". A quanto pare, i criminali informatici non si preoccupano troppo delle violazioni del copyright.

Per fugare ogni timore di pagare il riscatto, GandCrab permette alle vittime di decriptare gratuitamente un file a loro scelta.

I pagamenti di GandCrab vengono effettuati tramite un'oscura criptovaluta chiamata Dash, apprezzatadai criminali informatici per la sua estrema attenzione alla privacy. Le richieste di riscatto sono stabilite dall'affiliato, ma di solito si aggirano tra i 600 e i 600.000 dollari. Al momento del pagamento, le vittime possono immediatamente download il decriptatore di GandCrab e riottenere l'accesso ai propri file.

Se le vittime dovessero avere problemi con il pagamento del riscatto o con il download dello strumento di decriptazione, GandCrab fornisce un supporto "gratuito" in chat 24 ore su 24, 7 giorni su 7.

"GandCrab segue un modello commerciale di marketing affiliato, noto come Ransomware-as-a-Service (RaaS), in cui i criminali informatici di basso livello fanno il lavoro pesante di trovare nuove vittime, mentre gli autori della minaccia sono liberi di armeggiare e migliorare la loro creazione".

Qual è la storia di GandCrab?

Non si potrebbe pensare che il ransomware sia un'invenzione recente. In realtà, tutte le forme di ransomware, GandCrab compreso, hanno seguito un modello di base stabilito trent'anni fa da una prima forma di virus informatico.

Il primo proto-ransomware è arrivato nel 1989, letteralmente nelle cassette postali delle vittime. Conosciuto come virus informatico dell'AIDS, l'AIDS si diffuse tramite un dischetto da 5,25 pollici inviato alle vittime per posta. Il dischetto era intitolato "Informazioni sull'AIDS" e comprendeva un breve sondaggio volto a misurare il rischio di contrarre il virus dell'AIDS (quello biologico).

Il caricamento del sondaggio avviava il virus, che rimaneva poi dormiente per i successivi 89 avvii. All'avvio del computer per la novantesima volta, le vittime si ritrovano con una notifica sullo schermo che richiede il pagamento del "noleggio del software". Se le vittime cercavano di accedere ai propri file, scoprivano che tutti i nomi dei file erano stati criptati.

I pagamenti del riscatto dovevano essere inviati a una casella postale a Panama e, in cambio, le vittime ricevevano un "pacchetto software di rinnovo" che avrebbe invertito la quasi-crittografia.

Il metodo di funzionamento di GandCrab e di altre minacce ransomware moderne rimane relativamente invariato dai tempi del virus informatico AIDS. L'unica differenza è che oggi i criminali informatici dispongono di un vasto arsenale di tecnologie advanced con cui colpire, infettare e vittimizzare i consumatori.

Osservato per la prima volta nel gennaio 2018, GandCrab si è diffuso attraverso annunci malevoli (alias malvertising) e pop-up fasulli serviti da siti web compromessi. Una volta arrivate su un sito dannoso, le vittime ricevevano un avviso sullo schermo che le invitava a download un font mancante. In questo modo si installava il ransomware.

Contemporaneamente alla campagna di infezione dei font, GandCrab si è diffuso anche tramite allegati e-mail carichi di malware (detti malspam) inviati da una botnet di computer violati (le botnet sono utilizzate anche per gli attacchi DDoS ). In un esempio da manuale di ingegneria sociale, queste e-mail avevano come oggetto "Fattura non pagata #XXX". Motivate dalla paura, dalla curiosità o dall'avidità, le vittime hanno aperto l'e-mail e la "fattura" allegata, carica di malware.

Per la maggior parte del suo breve ma distruttivo percorso, tuttavia, GandCrab si è tipicamente diffuso da un computer all'altro attraverso qualcosa noto come kit di exploit. Gli exploit sono una forma di attacco informatico che sfrutta le debolezze o le vulnerabilità di un sistema bersaglio per ottenere un accesso non autorizzato a tale sistema. Un kit di exploit è un pacchetto plug-and-play di varie tecnologie progettato per sfruttare uno o più exploit.

Il team di Malwarebytes Labs ha segnalato l'utilizzo di almeno quattro diversi kit di exploit per la diffusione di GandCrab, che è possibile leggere:

Nel febbraio 2018, un mese dopo che GandCrab era stato avvistato per la prima volta, la società di cybersicurezza Bitdefender ha rilasciato uno strumento di decrittografia gratuito per GandCrab. Questo ha spinto gli autori di GandCrab a rilasciare una nuova versione del loro ransomware con una nuova tecnologia di crittografia. Attualmente la versione più recente dello strumento di decrittografia funziona sulle versioni 1, 4, 5.01 e 5.2 di GandCrab. Ad oggi, non è disponibile alcuno strumento di decriptazione gratuito per le versioni 2 e 3 di GandCrab.

Nell'ottobre 2018, una vittima della guerra civile siriana ha definito i creatori di GandCrab "senza cuore" per aver criptato le foto dei suoi figli morti. In risposta, il gruppo di GandCrab ha rilasciato la chiave di decrittazione per tutte le vittime di GandCrab situate in Siria e ha aggiunto la Siria all'elenco dei Paesi non presi di mira dal ransomware GandCrab.

Nel gennaio 2019, gli affiliati sono stati avvistati per la prima volta mentre utilizzavano il cosiddetto attacco RDP (Remote Desktop Protocol). Con questo tipo di attacco, gli autori scansionano una determinata rete alla ricerca di sistemi impostati per l'accesso remoto, ovvero un sistema a cui un utente o un amministratore può accedere e controllare da un'altra postazione. Una volta trovato un sistema predisposto per l'accesso remoto, gli aggressori tentano di indovinare le credenziali di accesso utilizzando un elenco di nomi utente e password comuni (un attacco a forza bruta o a dizionario).

Allo stesso tempo, gli affiliati di GandCrab hanno approfittato di una lunga e grave stagione influenzale (21 settimane) diffondendo il ransomware tramite e-mail di phishing presumibilmente provenienti dai Centri per il Controllo e la Prevenzione delle Malattie (CDC), con oggetto "Avviso di pandemia influenzale". L'apertura del documento Word allegato, carico di malware, ha avviato l'infezione da ransomware.

e-mail di phishing del CDC

Grazie al suo esercito di affiliati, alla metodologia di attacco diversificata e alle revisioni regolari del codice, GandCrab è diventato rapidamente il ransomware più comunemente rilevato tra gli obiettivi aziendali e consumer per il 2018, come riportato nelreport Malwarebytes Labs State of Malware.

Nonostante il suo successo, o forse proprio per questo, GandCrab ha smesso di funzionare nel maggio del 2019, un anno e mezzo dopo il lancio. I ricercatori di sicurezza informatica hanno avanzato una serie di teorie sul perché.

GandCrab non ha avuto il successo che i suoi creatori hanno fatto credere. Non sappiamo quanto denaro abbia guadagnato la banda di GandCrab. La loro dichiarazione di 2 miliardi di dollari di guadagni potrebbe essere gonfiata ed ecco perché: I ricercatori di cybersicurezza hanno sviluppato strumenti gratuiti di decrittazione di GandCrab per le versioni precedenti del ransomware. Appena due settimane dopo l'annuncio del ritiro di GandCrab, i ricercatori di Bitdefender hanno rilasciato un ultimo strumento di decriptazione in grado di decriptare l'ultima versione di GandCrab. Con una maggiore consapevolezza degli strumenti di decriptazione gratuiti, un numero sempre maggiore di potenziali vittime evita di pagare un eventuale riscatto.

La banda di GandCrab continuerà a produrre ransomware o altro malware con un altro nome. Annunciando la cessazione delle attività, la banda di GandCrab è libera di tormentare il mondo con nuove minacce subdole, al di fuori dell'occhio vigile dei ricercatori di sicurezza informatica e delle forze dell'ordine. Di certo, i ricercatori di cybersicurezza di Malwarebytes hanno segnalato un nuovo ceppo di ransomware che assomiglia in modo evidente a GandCrab.

Conosciuto come Sodinokibi (alias Sodin, alias REvil), questo ransomware è stato individuato in natura quasi due mesi dopo la fine di GandCrab e i ricercatori hanno immediatamente fatto un paragone con il ransomware defunto. Non c'è ancora una prova inconfutabile che implichi la banda di GandCrab come i cattivi dietro Sodinokibi, ma è una scommessa sicura.

Per cominciare, Sodinokibi segue lo stesso modello di ransomware-as-a-service: il gruppo di GandCrab possiede e supporta il software, permettendo a qualsiasi aspirante criminale informatico di utilizzarlo in cambio di una parte dei profitti.

Sodinokibi segue lo stesso processo di aggiornamento iterativo di GandCrab. Finora sono state realizzate sei versioni di Sodinokibi.

Sodinokibi utilizza alcuni degli stessi vettori di infezione, ovvero kit di exploit e allegati e-mail dannosi. Tuttavia, i criminali dietro Sodinokibi hanno iniziato a utilizzare i fornitori di servizi gestiti (MSP) per diffondere le infezioni. Nell'agosto del 2019, centinaia di studi dentistici in tutto il Paese hanno scoperto di non poter più accedere alle cartelle cliniche dei pazienti. Gli aggressori hanno utilizzato un MSP compromesso, in questo caso un'azienda di software per le cartelle cliniche, per diffondere il ransomware Sodinokibi negli studi dentistici che utilizzano il software di archiviazione.

Infine, la nota di riscatto e il sito di pagamento di Sodinokibi assomigliano molto a quelli di GandCrab.

Come proteggersi da GandCrab

Sebbene il team di Malwarebytes Data Sciences riferisca che i rilevamenti di GandCrab sono in netto calo, dobbiamo ancora fare i conti con Sodinokibi e altri ceppi di ransomware. Detto questo, ecco come proteggersi da GandCrab e da altri ransomware.

  • Eseguite il backup dei vostri file. Con backup regolari dei dati, un'infezione da ransomware diventa un piccolo, anche se fastidioso, inconveniente. È sufficiente cancellare e ripristinare il sistema e andare avanti con la propria vita.
  • Diffidate degli allegati e dei link delle e-mail. Se ricevete un'e-mail da un amico, un familiare o un collega e vi sembra strana, pensateci due volte. Se l'e-mail proviene da un'azienda con cui siete in affari, provate a navigare sul sito web dell'azienda o, se disponibile, a utilizzare l'app.
  • Applicate regolarmente le patch e gli aggiornamenti. Mantenere il sistema aggiornato impedisce agli aggressori di sfruttare gli exploit che possono essere utilizzati per ottenere l'accesso non autorizzato al computer. Gli exploit, come ricorderete, sono il metodo principale con cui GandCrab infetta i sistemi bersaglio. Allo stesso modo, se sul vostro computer è presente un software vecchio e obsoleto che non utilizzate più, eliminatelo.
  • Limitare l'accesso remoto. Il modo migliore per proteggersi da un attacco tramite Remote Desktop Protocol (RDP) è limitare l'accesso remoto. Chiedetevi: è davvero necessario accedere a questo sistema da remoto? Se la risposta è sì, limitate l'accesso almeno agli utenti che ne hanno realmente bisogno. Meglio ancora, implementare una rete privata virtuale (VPN) per tutti gli utenti remoti, in modo da annullare qualsiasi possibilità di attacco RDP.
  • Utilizzate password forti e non riutilizzate le password tra i vari siti. Nel caso in cui sia assolutamente necessario accedere a un sistema da remoto, assicuratevi di utilizzare una password forte con autenticazione a più fattori. Certo, ricordare password uniche per tutti i siti e le applicazioni utilizzate è un compito difficile, se non impossibile. Fortunatamente, un gestore di password può farlo per voi.

Come rimuovere GandCrab

Se siete già stati vittime di GandCrab, è molto probabile che non dobbiate pagare il riscatto. Seguite invece questi passaggi per rimuovere GandCrab dal vostro PC.

  1. Mostrare le estensioni dei file in Windows. Per impostazione predefinita, Microsoft Windows nasconde le estensioni dei file (come .exe e .doc), che devono essere visualizzate prima di passare al punto due. In breve, aprite Esplora file, fate clic sulla scheda Visualizza e selezionate la casella Estensioni dei nomi dei file.
  2. Determinare la versione di GandCrab. Ora che è possibile vedere le estensioni dei file, è possibile capire quale versione di GandCrab è presente verificando le estensioni dei file crittografati.
    • GandCrab versione 1 ha un'estensione .gdcb.
    • GandCrab versione 2 e 3 ha un'estensione .crab.
    • GandCrab versione 4 fornisce l'estensione .krab.
    • GandCrab versione 5 fornisce un'estensione randomizzata di 5 lettere.
  • Download il decriptatore. Come accennato in precedenza in questo articolo, esiste un decrittore GandCrab gratuito per le versioni 1, 4, 5.01 e 5.2 di GandCrab. Se le estensioni dei vostri file corrispondono a queste versioni, siete a posto. Sfortunatamente, non è disponibile alcuno strumento di decriptazione gratuito per GandCrab versione 2 e versione 3.
  • Non pagate il riscatto. Se siete stati infettati da GandCrab versione 2 o versione 3, potreste essere tentati di pagare il riscatto: non fatelo. Supponendo che i server di GandCrab siano ancora operativi, l'FBI, l'Europol e l'INTERPOL raccomandano di non pagare il riscatto. Non c'è alcuna garanzia di riavere i vostri file e questo vi rende un bersaglio facile per futuri attacchi ransomware.