Una nuova dimostrazione di quanto sia inopportuno aprire porte in ingresso sul router e inoltrare i pacchetti dati in ingresso verso dispositivi specifici collegati alla rete locale. Alcuni utenti possessori di un NAS D-Link DNS-320 (non più venduto ma ancora supportato dal produttore) hanno lamentato di aver rinvenuto tutti i propri file in forma crittografata. Il NAS collegato alla rete Internet e reso accessibile tramite l’IP pubblico è stato preso di mira da un ransomware che ha provveduto a crittografarne il contenuto chiedendo voi il versamento di un riscatto in denaro.
Il problema è stato segnalato in questo forum e dopo i primi controlli si è potuto verificare che il ransomware, battezzato Cr1ptT0r, era precedentemente sconosciuto e addirittura non veniva rilevato da nessun motore di scansione antimalware.
Allo stato attuale, come rivela VirusTotal, sono appena sei (Avira, F-Secure, Dr. Web, G DATA, Trend Micro e Qihoo 360) i motori antimalware capaci di accorgersi della minaccia.
Cr1ptT0r rappresenta una novità assoluta nel panorama dei ransomware perché sembra caratterizzato da una struttura modulare, utile per i malware writer che volessero estenderne le funzionalità.
Al momento si presenta come un file in formato ELF (Executable and Linkable Format) gestibile da parte dei sistemi Unix e Unix-like, quindi le varie distribuzioni Linux e i dispositivi basati su kernel Linux.
Già ora Cr1ptT0r prende di mira i dispositivi embedded e i server NAS bersagliando in particolare professionisti e imprese.
Trovare dispositivi vulnerabili sempre connessi alla rete Internet è semplicissimo per i criminali informatici così come per i normali utenti: con una semplice attività di port scanning si possono individuare i device attaccabili quindi sfruttarne le vulnerabilità note per crittografare i file in essi memorizzati: Port scanning: un’arma a doppio taglio. Difendetevi.
Qualunque dispositivi si utilizzi in rete locale è bene aggiornarlo sempre installando l’ultima versione del firmware e controllando periodicamente la disponibilità di nuove versioni. In ogni caso, però, i dispositivi non dovrebbero essere resi raggiungibili sull’IP pubblico, attraverso l’interfaccia WAN: se si avesse l’esigenza di gestirli in modalità remoto è essenziale allestire un server VPN. Vedere Sicurezza informatica, come difendersi dalle minacce più moderne in ufficio e in azienda.
Nel caso di specie Cr1ptT0r non aggiunge neppure una doppia estensione ai file cifrati dal ransomware. Essi vengono però contraddistinti a livello binario con l’aggiunta di un suffisso.