GandCrab

GandCrab ransomware è un tipo di malware che cripta i file delle vittime e richiede un pagamento di riscatto per recuperare l'accesso ai loro dati. GandCrab prende di mira consumatori e aziende con PC che eseguono Microsoft Windows.

DOWNLOAD MALWAREBYTES GRATUITO

Anche per Windows, iOS, Android, Chromebook e Per il Business

Il 31 maggio 2019, i cybercriminali dietro al ransomware GandCrab hanno fatto qualcosa di insolito nel mondo del malware. Hanno annunciato che avrebbero interrotto le operazioni, potenzialmente lasciando milioni di dollari sul tavolo.

“Tutte le cose belle finiscono” hanno scritto in un post autocelebrativo apparso su un noto forum del cybercrimine. Dal suo lancio nel gennaio 2018, gli autori di GandCrab hanno affermato di aver incassato oltre 2 miliardi di dollari in pagamenti di riscatto illeciti ed era ora di “una meritata pensione.”

“Abbiamo incassato con successo questi soldi e legalizzati in vari ambiti di business legittimo, sia nella vita reale che su Internet,” continuava il post. “Abbiamo dimostrato che facendo azioni malvagie, la punizione non arriva.”

I partner affiliati, quelli che hanno aiutato a diffondere il ransomware per una quota dei profitti, sono stati incoraggiati a chiudere le operazioni mentre alle vittime è stato detto di pagare subito o perdere per sempre i loro dati criptati.

Il post si è concluso con un ringraziamento conciso a tutta la comunità affiliata per “tutto il lavoro duro.”

Sebbene sia un divertente vanto umile, restano diverse domande senza risposta. Gli autori di GandCrab hanno davvero guadagnato quanto hanno dichiarato? Chi sono questi individui e stanno davvero andando in pensione? Più importante, è il ransomware GandCrab ancora una minaccia per i consumatori?

In questo articolo cercheremo di rispondere a tutte quelle domande rimaste in sospeso, fornire risorse alle vittime e mettere un epilogo alla storia di GandCrab.

Che cos'è GandCrab?

Osservato per la prima volta nel gennaio del 2018, il ransomware GandCrab è un tipo di malware che cripta i file delle vittime e richiede un pagamento di riscatto per recuperare l'accesso ai propri dati. GandCrab prende di mira i consumatori e le aziende con PC che eseguono Microsoft Windows.

Suonando come una malattia sessualmente trasmissibile, si potrebbe pensare che un nome come "GandCrab" abbia a che fare con la natura infettiva del ransomware e la sua propensione a diffondersi attraverso le reti aziendali. Tuttavia, secondo ZDNet, il nome GandCrab potrebbe derivare da uno dei suoi creatori, che si fa chiamare online "Crab" o "Gandcrab."

GandCrab non infetta le macchine in Russia o nell'ex Unione Sovietica, un forte indicatore che l'autore o gli autori provengono dalla regione. Del gruppo GandCrab si sa poco altro.

GandCrab segue un modello di business di affiliazione, noto anche come Ransomware-as-a-Service (RaaS), in cui criminali poco esperti svolgono il duro lavoro di trovare nuove vittime mentre gli autori della minaccia sono liberi di migliorare la loro creazione.

Le aziende legittime usano modelli di affiliazione tutto il tempo, in particolare Amazon. Ad esempio, supponiamo tu abbia un blog in cui recensisci prodotti elettronici: pensa a cuffie, smartphone, laptop, computer, ecc. Ogni recensione include un link unico che permette ai visitatori di acquistare l'oggetto su Amazon. In cambio, per aver inviato il cliente ad Amazon ricevi una percentuale del prezzo d'acquisto.

Per quanto riguarda GandCrab, gli autori della minaccia offrono la loro tecnologia ad altri cybercriminali intraprendenti (cioè affiliati). A questo punto spetta agli affiliati trovare nuovi clienti (cioè vittime). Eventuali riscatti pagati vengono divisi tra l'affiliato e il team di GandCrab 60/40 o fino a un massimo di 70/30 per i top affiliati.

Il giornalista di cybersecurity Brian Krebs riporta che uno dei migliori affiliati ha guadagnato 125.000 dollari in commissioni nel corso di un mese.

Utilizzando il modello di affiliazione, i criminali con conoscenze tecniche limitate riescono a partecipare all'azione del ransomware. E con i criminali di basso livello responsabili di trovare e infettare le macchine, i creatori di GandCrab possono concentrarsi sul migliorare il loro software, aggiungere nuove funzionalità e perfezionare la sua tecnologia di crittografia. In totale, ci sono cinque diverse versioni di GandCrab.

Una volta infettato, sulla macchina della vittima vengono posizionati in modo prominente dei biglietti di riscatto, indirizzandoli a un sito web nel Dark Web (la parte nascosta del web che richiede un browser speciale per essere vista).

Aperta la versione del sito in lingua inglese, le vittime vedono il messaggio pieno di errori di battitura “WELCOME! WE ARE REGRET, BUT ALL YOUR FILES WAS INFECTED!”

Le versioni successive del sito di riscatto mostrano Mr. Krabs del cartone animato per bambini “SpongeBob SquarePants”. A quanto pare, i cybercriminali non si preoccupano troppo delle violazioni del copyright.

Per placare eventuali timori riguardo al pagamento del riscatto, GandCrab permette alle vittime di decrittare gratuitamente un file a loro scelta.

I pagamenti GandCrab sono fatti tramite una criptovaluta sconosciuta chiamata Dash—apprezzata dai cybercriminali per la sua estrema attenzione alla privacy. Le richieste di riscatto sono impostate dall'affiliato, ma solitamente oscillano tra i 600 e i 600.000 dollari. Dopo il pagamento, le vittime possono scaricare immediatamente il decriptatore GandCrab e riottenere l'accesso ai propri file.

Se le vittime hanno problemi con il pagamento del riscatto o con il download dello strumento di decrittazione, GandCrab offre supporto online 24/7 “gratuito.”

GandCrab segue un modello di business di affiliazione, alias Ransomware-as-a-Service (RaaS), in cui i cybercriminali di basso livello fanno il lavoro pesante di trovare nuove vittime mentre gli autori della minaccia sono liberi di migliorare la loro creazione.

Qual è la storia di GandCrab?

Sarebbe un errore pensare che il ransomware sia un'invenzione recente. In realtà, tutte le forme di ransomware, incluso GandCrab, hanno seguito uno schema di base impostato trent'anni fa da una primordiale forma di virus informatico.

Il primo proto-ransomware è apparso nel 1989—letteralmente arrivando nelle cassette postali delle vittime. Conosciuto come il virus informatico dell'AIDS, l'AIDS si diffondeva tramite dischetto floppy da 5.25" inviato alle vittime tramite posta ordinaria. Il disco era etichettato “Informazioni sull'AIDS” e includeva un breve sondaggio progettato per misurare il rischio individuale di contrarre il virus dell'AIDS (quello biologico).

Avviare il sondaggio attivava il virus, dopodiché rimaneva dormiente per i prossimi 89 avvii. Al 90° avvio, un avviso a schermo richiedeva il pagamento per “il tuo noleggio software”. Se le vittime provavano ad accedere ai loro file, trovavano che tutti i nomi dei loro file erano stati confusi.

I pagamenti di riscatto dovevano essere inviati a una casella postale a Panama e, in cambio, le vittime ricevevano un “pacchetto software di rinnovo” che avrebbe invertito la quasi-crittografia.

Il metodo di operazione di GandCrab e altre moderne minacce ransomware rimane relativamente invariato dai tempi del virus informatico dell'AIDS. L'unica differenza è che oggi i cybercriminali hanno un vasto arsenale di tecnologie avanzate con cui puntare, infettare e vittimizzare i consumatori.

Osservato per la prima volta a gennaio 2018, GandCrab si diffondeva attraverso annunci maligni (detti anche malvertising) e popup falsi serviti da siti compromessi. Atterrando su un sito malevolo, le vittime ricevevano un avviso a schermo che le invitava a scaricare un font mancante. Farlo installava il ransomware.

Allo stesso tempo della campagna di infezione da font, GandCrab si è diffuso anche tramite allegati email infettati da malware (alias malspam) inviati da una botnet di computer compromessi (le botnet sono usate anche per attacchi DDoS). In un classico esempio di inganno tramite ingegneria sociale, queste email avevano come oggetto “Fattura non pagata #XXX.” Spinti da paura, curiosità o avidità, le vittime aprivano l'email e l'allegata “fattura” infettata da malware.

Per la maggior parte del suo breve ma distruttivo periodo di attività, GandCrab si è solitamente diffuso da un computer all'altro attraverso quello che è noto come kit di exploit. Gli exploit sono una forma di attacco informatico che sfrutta debolezze o vulnerabilità in un sistema target per ottenere accesso non autorizzato a quel sistema. Un kit di exploit è un pacchetto pronto all'uso di varie tecnologie progettato per sfruttare uno o più exploit.

Il team di Malwarebytes Labs ha riportato di almeno quattro kit di exploit diversi usati per diffondere GandCrab, che puoi leggere qui:

Nel febbraio del 2018, un mese dopo la prima apparizione di GandCrab al pubblico, l'azienda di cybersecurity Bitdefender ha rilasciato un strumento di decrittazione GandCrab gratuito. Questo ha spinto gli autori di GandCrab a rilasciare una nuova versione del loro ransomware con nuova tecnologia di crittografia. Attualmente, l'ultima versione dell'utensile di decrittazione funziona su GandCrab versioni 1, 4, 5.01 e 5.2. Ad oggi, non esiste uno strumento di decrittazione gratuito disponibile per le versioni 2 e 3 di GandCrab.

Nell'ottobre 2018, una vittima della guerra civile siriana ha accusato i creatori di GandCrab di essere “senza cuore” per aver criptato le foto dei suoi figli morti. In risposta, il team di GandCrab ha rilasciato la chiave di decrittazione per qualsiasi vittima di GandCrab situata in Siria e ha aggiunto la Siria alla lista dei paesi non presi di mira dal ransomware GandCrab.

Vogliono 600 dollari per restituirmi i miei figli, ecco cosa hanno fatto, mi hanno portato via i miei ragazzi per un po' di luridi soldi. Come posso pagare 600 dollari se a malapena ho il denaro per mettere il cibo in tavola per me e mia moglie?
— جميل سليمان (@kvbNDtxL0kmIqRU) Ottobre 16, 2018

A gennaio 2019, gli affiliati sono stati visti per la prima volta utilizzare quello che è conosciuto come attacco Remote Desktop Protocol (RDP). Con questo tipo di attacco, i malintenzionati scansionano una rete data alla ricerca di sistemi impostati per l'accesso remoto; cioè, un sistema su cui un utente o amministratore può accedere e controllare da un'altra posizione. Una volta che gli aggressori trovano un sistema impostato per l'accesso remoto, tenteranno di indovinare le credenziali di accesso usando un elenco di nomi utente e password comuni (alias attacco a forza bruta o a dizionario).

Allo stesso tempo, gli affiliati di GandCrab hanno approfittato di una lunga, severa stagione influenzale (21 settimane) diffondendo il ransomware tramite email di phishing presumibilmente provenienti dai Centri per il Controllo e la Prevenzione delle Malattie (CDC), con l'oggetto “Avviso pandemia influenzale.” L'apertura del documento di Word allegato infettato da malware avviava l'infezione da ransomware.

Grazie al suo esercito di affiliati, alla metodologia di attacco diversificata e alle revisioni regolari del codice, GandCrab è diventato rapidamente il ransomware più comune tra i target aziendali e consumer nel 2018, come riportato nel rapporto State of Malware report di Malwarebytes Labs.

Nonostante il suo successo, o forse proprio per questo, GandCrab ha smesso nel maggio del 2019—un anno e mezzo dopo il lancio. I ricercatori di cybersecurity hanno presentato diverse teorie sul perché.

GandCrab non è così di successo come i suoi creatori hanno fatto intendere. Non sappiamo davvero quanto denaro abbia fatto il team di GandCrab. La loro affermazione di aver guadagnato 2 miliardi di dollari potrebbe essere gonfiata e ecco perché: i ricercatori di cybersecurity hanno sviluppato strumenti di decrittazione gratuiti per le versioni precedenti del ransomware. Appena due settimane dopo che il team di GandCrab ha annunciato che si ritiravano, i ricercatori di Bitdefender hanno rilasciato un ultimo strumento di decrittazione capace di decrittare l'ultima versione di GandCrab. Con una maggiore consapevolezza pubblica degli strumenti di decrittazione gratuiti, sempre più potenziali vittime evitano di pagare eventuali riscatti.

La crew di GandCrab continuerà a creare ransomware o altri malware sotto un nome diverso. Annunciando di aver cessato le operazioni, la crew di GandCrab è libera di tormentare il mondo con nuove minacce ingannevoli, al di fuori dello sguardo vigile dei ricercatori di cybersecurity e delle forze dell'ordine. Certamente, i ricercatori di cybersecurity di Malwarebytes hanno riportato una nuova variante di ransomware che aveva una somiglianza sospetta con GandCrab.

Conosciuto come Sodinokibi (alias Sodin, alias REvil), questo ransomware è stato avvistato in natura quasi due mesi dopo la cessazione di GandCrab e i ricercatori hanno immediatamente tracciato un confronto con il ransomware defunto. Per ora, non c’è nessuna prova schiacciante che incolpi il team di GandCrab come responsabile dietro Sodinokibi, ma è una scommessa sicura.

Per cominciare, Sodinokibi segue lo stesso modello ransomware-as-a-service—il team di GandCrab possiede e supporta il software, permettendo a qualsiasi aspirante cybercriminale di usarlo in cambio di una percentuale dei profitti.

Sodinokibi segue lo stesso processo di aggiornamento iterativo di GandCrab. Ad oggi, ci sono state sei versioni di Sodinokibi.

Sodinokibi utilizza alcuni degli stessi vettori d’infezione, in particolare kit di exploit e allegati email dannosi. In una nuova svolta, tuttavia, i criminali dietro Sodinokibi hanno iniziato a utilizzare i fornitori di servizi gestiti (MSP) per diffondere infezioni. Nell'agosto del 2019, centinaia di studi dentistici in tutto il paese hanno scoperto di non poter più accedere ai loro registri dei pazienti. Gli attaccanti hanno utilizzato un MSP compromesso, in questo caso una società di software per la gestione delle cartelle cliniche, per distribuire il ransomware Sodinokibi negli studi dentistici utilizzando il software di gestione delle cartelle.

Infine, la nota di riscatto e il sito di pagamento di Sodinokibi ricordano molto quelli di GandCrab.

Come proteggersi da GandCrab

Sebbene il team di Data Sciences di Malwarebytes riporti che le rilevazioni di GandCrab sono in forte calo, dobbiamo ancora affrontare Sodinokibi e altre varianti di ransomware. Detto ciò, ecco come proteggersi dal GandCrab e altri ransomware.

Fai il backup dei tuoi file. Con backup regolari dei dati, un'infezione da ransomware diventa un piccolo fastidio. Semplicemente cancella e ripristina il tuo sistema e continua con la tua vita.

Fai attenzione agli allegati email e ai link. Se ricevi un'email da un amico, parente o collega e suona strana, pensaci due volte. Se l'email proviene da un'azienda con cui fai affari, prova a navigare al sito web dell'azienda o, se disponibile, utilizza l'app.

Patcha e aggiorna regolarmente. Tenendo il tuo sistema aggiornato impedirai agli attacchi di sfruttare exploit che possono essere utilizzati per ottenere accesso non autorizzato al tuo computer. Gli exploit, come ricorderete, sono il metodo principale con cui GandCrab infetta i sistemi target. Allo stesso modo, se hai software vecchio e non aggiornato sul tuo computer che non usi più—cancellalo.

Limita l'accesso remoto. Il modo migliore per proteggere dai attacchi tramite Remote Desktop Protocol (RDP) è limitare l'accesso remoto. Chiediti, questo sistema ha davvero bisogno di essere accessibile da remoto? Se la risposta è sì, limita almeno l'accesso agli utenti che ne hanno realmente necessità. Meglio ancora, implementa una rete privata virtuale (VPN) per tutti gli utenti remoti, eliminando così qualsiasi possibilità di un attacco RDP.

Usa password forti e non riutilizzarle sui siti. Nel caso in cui un sistema debba essere accessibile da remoto, assicurati di usare una password forte con autenticazione a più fattori. Certo, ricordare password uniche per tutti i vari siti e applicazioni può essere un compito difficile, se non impossibile. Fortunatamente, un gestore di password può farlo per te.

Usa software di cybersecurity. Ad esempio, Malwarebytes Premium per Windows blocca Trojan, virus, download malevoli, link dannosi e siti web spoofati in modo che ransomware come GandCrab e altre infezioni malware non possano mai prendere piede sul tuo sistema.

Come rimuovere GandCrab

Se sei già caduto vittima di GandCrab, ci sono buone probabilità che non sia necessario pagare il riscatto. Invece, segui questi passaggi per rimuovere GandCrab dal tuo PC.

Mostra le estensioni dei file in Windows. Di default, Microsoft Windows nasconde le estensioni dei file (come .exe e .doc) e sarà necessario vederle prima di poter passare al passaggio due. In breve, apri Esplora File, clicca sulla scheda Visualizza, quindi seleziona la casella Estensioni nomi file.
Determina la versione di GandCrab. Ora che puoi vedere le estensioni dei file, puoi determinare quale versione di GandCrab hai verificando le estensioni nei tuoi file criptati.

GandCrab versione 1 dà l'estensione .gdcb.
GandCrab versione 2 e 3 dà l'estensione .crab.
GandCrab versione 4 dà l'estensione .krab.
GandCrab versione 5 dà un'estensione casuale di 5 lettere.

Scarica il decriptatore. Come menzionato prima in questo articolo, c'è un decriptatore gratuito per GandCrab per le versioni 1, 4, 5.01 e 5.2. Se le estensioni dei tuoi file corrispondono a queste versioni menzionate, sei a posto. Purtroppo, non esiste uno strumento di decriptazione gratuito disponibile per GandCrab versione 2 e versione 3.

Non pagare il riscatto. Se sei stato infettato da GandCrab versione 2 o versione 3 potresti essere tentato di pagare il riscatto: non farlo. Assumendo che i server di GandCrab siano ancora operativi, l'FBI, Europol e INTERPOL raccomandano di non pagare il riscatto. Non c'è garanzia che riavrai i tuoi file indietro e farlo ti segna come un bersaglio facile per futuri attacchi ransomware.