Ti cripto il sito e ti chiedo il riscatto

Da pochi giorni è comparsa in rete una nuova variante di CryptoLocker, un Trojan Ransomware molto potente che dalla fine del 2013 ha colpito diverse migliaia di computer.

Il Ransomware è una categoria di Trojan che implica un riscatto per poter riprendere il normale utilizzo della propria macchina.

CryptoLocker è una esemplare della categoria Ransomware, il quale cripta l’hard-disk della vittima e chiede un pagamento per ottenere la chiave di decrittazione.

HTBRIDGE ha scoperto che l’idea di CryptoLocker è stata ripresa ed utilizzata per attaccare anche le Web Application.

Il suo funzionamento è descrivibile in breve con questa frase:

Ti cripto il sito e ti chiedo il riscatto

La modalità d’attacco richiede di aver precedentemente compromesso il sito web e di poterne modificare il codice. Successivamente l’attaccante va a criptare tutti i dati importanti prima dell’aggiunta al database, decriptandoli poi al momento della lettura, utilizzando una chiave di decriptazione salvata su un altro server, accessibile solo via HTTPS, così da renderla nasconderla alle analisi della rete.

website-backdoor-database-crypt

Dopo questa prima fase non resta che attende che la mole di dati criptati cresca e che i log di sistema vengano sovrascritti dal normale corso del tempo.

A questo punto è sufficiente eliminare la chiave di decriptazione dal server, rendendo di fatto impossibile la lettura dei dati inseriti nel database dopo l’ingresso della backdoor.

Come si può immaginare a questo punto entra in gioco la caratteristica richiesta di riscatto propria dei Ransomware.

Fonte: https://www.htbridge.com/blog/ransomweb_emerging_website_threat.html

Pubblicato da Abdel Adim Oisfi

Sono Abdel Adim Oisfi, conosciuto nella rete come `smaury`. Lavoro: CEO, Security Researcher, Penetration Tester presso Shielder Srl. Passioni: Hacking, Autostop, Tuffi e Ginocchia Sbucciate.