Il ricatto è online: TorrentLocker controlla migliaia di PC in tutto il mondo ostaggi di un software che ha ricavato fin’ora 585.000$ in Bitcoin.
Nel corso di tutto il 2014 e con maggiore intensità negli ultimi mesi, il trojan TorrentLocker ha colpito i PC in tutto il mondo, tenendo in “ostaggio” i computer di enti e singoli utenti per chiedere un riscatto in Bitcoin. Si tratta di un cosiddetto ransomware, una specifica categoria di malware che invia la richiesta illecita di denaro ad aziende, enti e privati.
Un attacco informatico non nuovo nel panorama web: nel 1989, infatti, il trojan AIDS richiedeva 189 $ agli utenti per poter sbloccare i file colpiti da ogni attacco, mentre CryptoLocker, antenato di TorrentLocker attivo nel 2013, ha attaccato circa 250.000 PC in tutto il mondo.
Gli esperti di ESET, uno dei produttori mondiali di software per la sicurezza digitale, hanno approfondito la metodologia d’azione e l’entità dei danni provocati fino ad ora dal potente malware:
Come funziona il malware?
TorrentLocker (Win32/Filecoder.DI) cripta i documenti dei PC attaccati per richiedere alle vittime del cyber crimine di pagare un riscatto per tornare ad avere accesso ai propri file, attraverso il download del software di decriptazione.
Il malware agisce solitamente a seguito dell’invio di una e-mail contenente un link a un presunto contratto, o a una bolletta o fattura da pagare. Una volta aperto, il link porta al download di una cartella compressa contenente un finto file pdf: in realtà, si tratta di un programma eseguibile (la finta estensione .pdf nel nome del file è seguita da una lunga riga che esce dalla schermata e nasconde un’estensione .exe).
I messaggi sono personalizzati in base al Paese della vittima e il riscatto viene richiesto in Bitcoin proprio per nascondere il Paese di origine dell’hacker: ora, addirittura, TorrentLocker utilizza uno specifico account Bitcoin per ogni singolo attacco.
I numeri di Torrentlocker
TorrentLocker è stato rilevato per la prima volta nel febbraio 2014 e, nei mesi a seguire, ha attaccato computer di enti, aziende e privati in Italia, Regno Unito, Irlanda, Francia, Germania, Olanda, Spagna, Austria, Repubblica Ceca, Turchia, Australia, Nuova Zelanda.
Gli esperti ESET hanno stilato un’analisi approfondita della portata dell’attacco informatico, ecco alcuni dati:
- Il virus ha infettato 670 sistemi: 570 vittime, ossia l’1,45% del totale, hanno pagato il riscatto ai cyber criminali.
- L’ammontare della somma ricavata dai riscatti arriva a circa 000$ in Bitcoin.
- Fino ad ora, sono stati criptati almeno 716.813 documenti.
- Secondo gli esperti ESET, gli hacker fautori di TorrentLocker potrebbero essere gli stessi autori del trojan bancario HesperBot.
I ricercatori ESET sono riusciti a raccogliere queste informazioni studiando i server C&C (command&control) di TorrentLocker e il modo in cui generano gli URL per le pagine del pagamento. In questo modo è stato possibile risalire ai Paesi presi di mira dagli hacker, al numero di file criptati e al riscatto richiesto per ciascun attacco.
Il modo migliore per contrastare questo genere di attacchi è essere prudenti nell’aprire messaggi da fonti sconosciute e avvalersi di opportune soluzioni di sicurezza informatica
