Gli autori del noto ransomware CTB-Locker questo mese hanno deciso di “reinventare” la loro “creatura” e realizzare quello che è stato battezzato CTB-Locker per i siti web.
La nuova variante del ransomware, appena scoperta, colpisce esclusivamente siti Web, cifra i dati memorizzati sul server e chiede il versamento di riscatto in denaro pari a 0,4 Bitcoin (circa 150 euro). Una volta ottenuto l’importo richiesto, i criminali informatici “garantiscono” di fornire la chiave per decodificare i file cifrati.
Sebbene questo punto non sia stato ancora adeguatamente verificato, è assai probabile che CTB-Locker infetti i siti web contenenti vulnerabilità irrisolte nel CMS utilizzato per la gestione e la visualizzazione dei contenuti. Qualunque prodotto come WordPress, Joomla o Drupal non adeguatamente aggiornato può rappresentare una porta d’accesso per CTB-Locker così come per altri generi di attacchi.
Una volta aggredito il sito web vulnerabile, CTB-Locker sostituisce il file index.php
con uno nuovo. Una nuova home page che informa i visitatori sull’accaduto e invita il webmaster a versare l’importo del riscatto.
Il malware si offre di decodificare “gratuitamente” due file memorizzati sul server indicati dal webmaster.
Al momento non vi sono soluzioni per decodificare i file cifrati da CTB-Locker sul server web e l’unico approccio è quello di risolvere le vulnerabilità presenti nel CMS in uso (verificando anche la corretta configurazione del server) quindi ripristinare un backup completo dei file.
Nonostante CTB-Locker abbia già infettato diverse centinaia di siti web (è facile verificarlo con una semplice ricerca su Google), il ransomware dovrebbe riscuotere “un successo” nettamente inferiore rispetto alla controparte per sistemi Windows desktop ed ai vari TeslaCrypt, CryptoWall e Locky, ancora – purtroppo – così diffusi.
Tipicamente, infatti, i webmaster hanno a disposizione i backup dei dati e sono in grado di ripristinarli senza versare alcunché.
La lista completa delle tipologie di file cifrate da CTB-Locker per siti web è disponibile su Bleeping Computer, in questa pagina.