I ricercatori di cyber security di Carbon Black hanno scoperto una nuova famiglia malware: i ransomware Conti, che potrebbero infettare il tuo device e crearti diversi problemi.
Ma cos’è un ransomware? Si tratta di tipo di malware che infetta i dispositivi tecnologici limitandone l’accesso ai legittimi proprietari, e solo con un riscatto (ransom) è possibile rimuovere la limitazione. Può succedere che venga bloccato il sistema o cifrati dei file. Per poter ripristinare il pieno utilizzo del device verrà intimato all’utente di pagare un determinato prezzo.
Generalmente i ransomware si servono dei trojan per riuscire ad accedere al sistema. Il metodo è sempre lo stesso: attraverso un file scaricato il software eseguirà poi un payload, che potrebbe bloccare il dispositivo o criptare i file personali sull’hard disk.
I ransomware più sofisticati accedono attraverso sistemi ibridi di criptazione che danno libero accesso ai documenti della vittima, adottando una chiave privata casuale e una chiave pubblica fissa. Il cybercriminale di turno sarà purtroppo l’unico a conoscere la chiave di decriptazione privata.
Ransomware Conti: come funziona
Il nuovo malware è caratterizzato da alcune peculiarità uniche che lo rendono più pericoloso rispetto agli altri ransomware in circolazione: si serve di un numero importante di threads indipendenti per la codifica (fino a 32 in contemporanea).
Questo aspetto gli permette di essere più veloce rispetto agli altri codici malevoli dello stesso genere. Inoltre, si avvale di opzioni per la linea di comando che gli garantiscono il controllo della scansione dei dati. Gli esperti sospettano che siano direttamente le persone coinvolte nel cybercrime a gestirlo e distribuirlo.
Un’altra caratteristica che lo identifica è la possibilità di “skippare” la cifratura di file locali, prendendo di mira esclusivamente quelli SMB. Ad oggi, questa opzione era stata osservata solo con Sodinokibi (REvil). Infine, si avvale di Windows Restart Manager per avere la certezza che tutti i file vengano cifrati.
