Malware multiuso: a volte i trojan vengono in comitiva

Come se il ransomware non fosse già abbastanza dannoso, adesso si sta metastatizzando: non solo diffondendosi con rapidità, ma anche acquisendo caratteristiche secondarie. Prendiamo Cerber, un ransomware individuato per la prima volta a febbraio del 2016.

Allora, Cerber era meglio conosciuto per essere alquanto inquietante: invece di mostrare alle vittime soltanto un messaggio nefasto, Cerber recapitava la sua “nota” di riscatto anche verbalmente. Inoltre, seguiva un modus operandi standard: dateci il denaro e vi restituiremo i vostri file.

Payload secondario

Adesso Cerber e gli altri trojan criptano i dati delle loro vittime e la maggior parte degli utenti non ha idea di cosa fare. Una gran bella tattica diversiva, vero?

Pare che i distributori di Cerber siano d’accordo. Alcune versioni aggiornate del malware che, aiutate da sofisticati metodi di consegna, sono esplose con successo negli ultimi mesi, arrivano con più di un payload. Nel caso di Cerber, il bonus è progettato per annettere il vostro computer a un esercito dannoso di botnet.

In breve, ecco la sequenza di eventi. Prima, Cerber viene sotto forma di allegato a un’email. Una volta eseguito, il virus si comporta come qualsiasi altro ransomware, criptando i file e chiedendo denaro per la loro restituzione. Ma poi, come stanno scoprendo gli esperti della sicurezza, conferma la connessione Internet del computer e inizia a usare il PC infetto per altri scopi, tipo per un attacco denial-of-service (DDoS) distribuito o uno spambot.

#Cerber ransomware on the rise, fueled by #Dridex botnets via @threatpost https://t.co/GBEdClImo3 pic.twitter.com/cP3ySzx2z8

— Kaspersky Lab (@kaspersky) May 16, 2016

Malware multiuso in ascesa

“Cerber” è davvero il nome adatto per un malware che fa parte di questa tendenza multipayload. Come Cerbero, il cane a tre teste della mitologia greca, non è semplice, né facile da sconfiggere, e ciò rende l’approccio allettante per i cybercriminali.

Cerber non è neanche il primo ransomware visto nel 2016 ad aggiungere payload extra. Per esempio, Petya, il ransomware che criptava l’intero disco rigido delle vittime ma che prima chiedeva il permesso agli utenti, ha aggiunto Mischa alla sua procedura d’installazione per garantire l’infezione. E CryptXXX ha aggiunto l’abilità di sottrarre informazioni e bitcoin al suo altrimenti normale payload del ransomware.

Caught with #CryptXXX #Ransomware? Our tool can unlock your files without paying. https://t.co/8iRG44Ylui #infosec pic.twitter.com/uTHYa7QaEl

— Kaspersky Lab (@kaspersky) April 26, 2016

Il ransomware è un crimine che frutta, e pure bene. Ci sia aspetta che Cerber sia il principio, e non la fine, di questo trend di molteplici virus di ransomware. Rimanete aggiornati e protetti per massimizzare le vostre probabilità di rimanere al sicuro.

Evitate Cerber

I malware come Cerber continuano a essere distribuiti in modalità tali da essere facilmente evitabili. Per minimizzare la possibilità di cadere vittime di Cerber, nonché il danno nel caso lo incontraste:

1. Diffidate di tutte le email. Non cliccate mai su un link in un messaggio che è chiaramente di spam, ma evitate di farlo anche in ciò che sembra un’autentica email d’affari o anche un messaggio che pare essere di qualcuno che conoscete e di cui vi fidate.
2. Fate il backup dei vostri file, regolarmente, più e più volte.
3. Applicate sistemi operativi e patch non appena disponibili. Come per i link di spam, gli exploit senza patch sono un punto d’ingresso estremamente comune per i malware.
4. Avviate sempre soluzioni di sicurezza, come Kaspersky Internet Security e mantenetele aggiornate. Vi serve protezione anche su tutti i dispositivi connessi. Le soluzioni Kaspersky Lab rilevano Cerber come Trojan-Ransom.Win32.Zerber.