Una variante ransomware che ha la capacità di autoreplicarsi: è l’ultima scoperta di chi lotta contro il cybercrime. Gli esperti della sicurezza IT ritengono che in futuro questa minaccia si evolverà e sarà in grado di infettare obiettivi sempre più grandi.
Microsoft ha pubblicato un avviso a tutti gli utenti in cui spiega come ZCryptor (questo è il nome del virus) sia in grado inizialmente di attaccare le proprie vittime attraverso schemi di phishing tradizionali, macro o eseguendo installatori falsi, oltre ad avere la possibilità di inserire i file di autorun su dispositivi di archiviazione rimovibili.
Ciò significa, secondo l’azienda, che il ransomware si può diffondere ad altri computer e du tutti i dispositivi portatili dotati di memoria.
Ransomware auto-replicanti
Gli esperti ritengono che questa nuova minaccia rappresenti solo una parte di una più larga tendenza che vede i ransomware concentrarsi sulla diffusione degli attacchi a partire dall’host inizialmente infettato per arrivare a causare danni più ampi.
“Quello che è certo – ha detto Arian Evans, vice president of product strategy presso RiskIQ – è che questi ransomware diventano auto-replicanti”.
Anche altri esperti concordano, sottolineando come questi ransomware rappresentano la naturale evoluzione del malware e, come tali, possono essere trasportati e propagati in tutti i modi già utilizzati dai malware in passato. “Pertanto – ha fatto notare Wade Williamson, director of threat analytics presso Vectra – sebbene questa sia una nuova variante di ransomware, di per sé, non è da ritenere così sconvolgente”.
È solo una questione di aggiornamento?
Secondo Microsoft e Trend Micro il nuovo virus ransomware non funziona su Windows 10, ma può invece infettare le versioni precedenti del sistema operativo. Per questo motivo, il primo suggerimento dato dall’azienda agli utenti è stato quello di eseguire l’aggiornamento a Windows 10. Non tutti gli esperti però si sono trovati d’accordo: Don Jackson, senior threat researcher presso Damballa, dopo aver effettuato un test ha riferito che ZCrypt: “ha funzionato esattamente nello stesso modo disastroso sulla nuova versione di Windows 10. Non direi che l’aggiornamento a Windows 10 possa essere una misura preventiva per tutti. In questo caso, l’aggiornamento non ha offerto alcun miglioramento in termini di individuazione e prevenzione del pericolo. Credo che quanto abbia riportato Microsoft possa essere fuorviante”.
Il problema con il suggerimento di Windows era di carattere finanziario, piuttosto che tecnico. “Finanziariamente parlando – ha aggiunto Evans -, i costi di Windows 10 sono probabilmente fuori portata per una grande percentuale della comunità globale dei PC, in particolare per quelli in esecuzione su versioni pirata di Windows XP. La domanda è: fino a che punto il costo di impatto del ransomware supera il costo di aggiornamento a Windows 10 e la sostituzione con i relativi dispositivi legacy? La duplicazione automatica dei ramsoware accelererà questa curva dei costi rendendo l’aggiornamento, e quindi l’attuazione di difese più forti, più economico a ogni attacco ransomware portato a termine con successo”.
Al di là della critica rivolta verso l’efficacia di questo primo consiglio che Microsoft ha dato ai propri utenti, gli esperti concordano con il resto dei suggerimenti forniti dall’azienda: effettuare regolari backup dei dati su fonti esterne, diffidare dalle e-mail di phishing, disattivare le macro in Office, disabilitare la funziome di desktop remoto, utilizzare l’autenticazione a due fattori ed evitare i siti web a rischio (come siti di download illegali o siti porno).