Pokemon ransomware, tutto ciò che devi sapere

Pokemon Go è stato il videogioco dell’anno, esploso nel 2016.
Scaricato, sia su mobile che da PC, contava ben 100 milioni di utenti. I cybercriminali hanno colto la palla al balzo e hanno potuto diffondere un ransomware che ne porta il nome.

Infatti, questo ransomware ha impersonato la stessa applicazione Pokemon Go per Windows.
Il cryptovirus venne scoperto dagli analisti di TrendMicro, sembrava essere un “qualunque” ransomware.

Purtroppo, i suoi autori lo hanno generato sfruttando il codice di Hidden Tear, ransomware open source rilasciato ad agosto 2015, con l’intenzione di “educare le persone”.

Come mai questo tipo di ransomware ha tenuto in subbuglio il web?
Questo è il primo caso documentato di ransomware che ha assunto l’identità di un videogioco.

All’epoca, Pokemon Ransomware era ancora in fase di sviluppo, ma poi con il declino della popolarità del gioco stesso, la minaccia sembra essere svanita.

1. Modalità di esecuzione di Pokemon ransomware
2. Attacco anche sotto forma di phishing
3. La prevenzione attuata per arginare gli effetti di Pokemon ransomware

Come agisce Pokemon Ransomware?

• Per cominciare, lo sviluppatore ha creato un account utente backdoor “Hack3r” in Windows.
• L’account viene aggiunto al gruppo Administrator.
  Il registro è stato ottimizzato, quindi l’account Hack3r è nascosto nella schermata di accesso di Windows.

Un’altra funzionalità crea una condivisione di rete sul computer della vittima:

• Consentendo la diffusione del ransomware, copiando l’eseguibile su tutte le unità (movimento laterale).
• Il ransomware si avvierà automaticamente quando la vittima accede a Windows.

Sulla base della lingua utilizzata dalla richiesta di riscatto, il ransomware Pokemon sembrava aver preso di mira gli utenti arabofoni, con una schermata di riscatto di accompagnamento che presenta un’immagine di Pikachu.

Inoltre, l’eseguibile salvaschermo è anche incorporato con un’immagine di “Sans Titre”, che in francese significa “Senza titolo”, suggerendo un indizio sull’origine dello sviluppatore.

Al momento del rilascio di Pokemon Go, i ricercatori si sono imbattuti in un APK che affermava di essere una copia del gioco disponibile.
Ovviamente, si trattava di un programma dannoso, che ha caricato un trojan di accesso remoto DroidJack (RAT) sui dispositivi Android degli utenti.

Gli aggressori si sono anche spinti su SMS phishing per invogliare i giocatori di Pokemon GO a visitare una serie di siti Web dannosi.
Il sito, versione contraffatta dell’attuale sito di Pokemon GO, prometteva di fornire agli utenti funzionalità aggiuntive se avessero ceduto l’indirizzato dieci amici, il che probabilmente avrebbe portato a più messaggi di phishing.

Un altro sito, soprannominato Pokémon Generator, incoraggiava gli utenti a fornire le proprie credenziali di accesso, che nella maggior parte dei casi significano le proprie e-mail e password di Google, per poter depositare i Pokécoin sui propri account.

Per evitare di incappare nell’attacco ransomware, gli utenti sono stati incoraggiati a eseguire regolarmente backup dei file e ad avere un antivirus aggiornato.

Inoltre, si raccomanda di non cliccare su collegamenti e allegati e-mail sospetti, mantenere aggiornato il software e scaricare applicazioni solo da fonti attendibili.

Le versioni legittime di Pokemon Go sono disponibili tuttora su Google Play Store e Apple App Store solo per Android e iOS, oltre che Windows e OS X. Tutte le app che affermano di offrire il gioco per un sistema operativo diverso sono sicuramente dannose.

I truffatori sfruttano la popolarità di nuovi giochi, notizie o eventi mondiali per distribuire minacce.
Non sorprende che i truffatori abbiano tratto vantaggio offrendo versioni false del gioco, guide fasulle notizie e applicazioni di cheating.

Gli analisti di cybersecurity consigliano agli utenti di computer di prestare attenzione quando hanno a che fare con questi programmi, poiché essi potrebbero essere sfruttati per distribuire minacce come Pokemon Ransomware.