Ransomware GandCrab, di che cosa si tratta?

Il ransomware GandCrab appartiene ad una delle più importanti famiglie di ransomware.

Il ransomware si presenta alle vittime sotto forma di:

• GDCB

• KRAB

• CRAB

• GandCrab 2

• GandCrab 3, GandCrab 4

• GandCrab 5

Queste sono le diciture delle varianti GandCrab più conosciute attraverso cui il ransomware che ha colpito. Possiamo definire il malware GandCrab come una delle minacce più prolifiche degli anni 2017-2019.

Il malware si diffondeva grazie ad una delle molteplici campagne di malspam e veniva distribuito tramite Exploit Kit RIG. Considerato tra i più famosi ransomware as-a-service del nuovo millennio, la distribuzione della minaccia GandCrab avviene secondo il modello di un qualsiasi business di distribuzione service.

Durante il periodo di attività del cryptovirus, sono state per l’appunto rilasciate diverse versioni della minaccia.
Come qualsiasi altro ransomware, GandCrab non fa certo eccezione per la spiccata capacità di cifratura dei file presenti sul dispositivo della vittima colpita.

Al fine di denotare l’inaccessibilità dei file, le versioni del ransomware utilizzano una specifica tecnica RSA 2048 e AES 256.

Trattandosi di una minaccia diffusa come as a service, anche la cifra del riscatto ransomware è altalenante: in media le vittime riferiscono che la cifra di riscatto richiesta è di 300$ circa. COme per molte altre minacce cryptovirus, alle vittime viene fornito un indirizzo di wallet Bitcoin a cui possono trasmettere il riscatto richiesto.

In quest’articolo, esaminiamo i meccanismi di questa minaccia, in particolare le versioni 2 e 3 con estensione .crab, e le precauzioni che devono essere prese.

1. Che cos’è il ransomware GandCrab?
2. Come funziona il ransomware GandCrab?
3. Come prevenire le infezioni da ransomware GandCrab?
4. Conclusione

Una delle famiglie ransomware famigerate degli ultimi anni è GandCrab.

A Gennaio 2018, il cryptovirus ha visto la luce per la prima volta.
Nei successivi 15 mesi, i professionisti della sicurezza che hanno monitorato i cambiamenti del ransomware GandCrab.

L’origine del ransomware GandCrab resta ad oggi sconosciuta, sebbene le indagini abbiano mostrato legami con i gruppi informatici russi. Gli autori del ransomware hanno utilizzato un “modello di business” di franchising, concedendo sostanzialmente in licenza il virus a vasti gruppi di comunità di hacker al fine di propagare e monetizzare questa modalità di infezione.

In aggiunta a quanto già detto, sappiamo che per le vittime è possibile accedere al messaggio di riscatto per il ransomware GandCrab solo utilizzando il browser TOR, che reindirizzerà gli utenti alla darknet.

Tipicamente, viene richiesto il pagamento in criptovaluta DASH.

Come si viene infettati da GandCrab?

Il ransomware Crab ricorre alle e-mail spam inviate a migliaia di utenti e ricorrono tutte alle tecniche di ingegneria sociale per indurre le vittime a scaricare il payload per l’avvio dell’attacco. Le ultime versioni del cryptovirus, in particolare GANDCRAB 5.2 viene diffuso anche tramite trojan o falsi software di aggiornamento.

Normalmente le email che contengono il payload di GandCrab allegano un file infetto in formato .zip, .rar, .exe, .pdf, .doc.

Appena la vittima apre l’allegato email infetto, si avvia l’installazione dell’infezione. Ma il peggio non ha fine purtroppo.

Il ransomware Crab potrebbe essere trasmesso da browser hijacker, ovvero plugin dannosi per browser web.
Sono commercializzati come sistemi di funzioni utili per i browser di destinazione e sono generalmente progettati per essere interoperabili con le app più popolari, tra cui Mozilla Firefox, Safari, Microsoft Edge, Opera, Internet Explorer e Google Chrome.

Modalità operativa del ransomware GandCrab

Il ransomware verrà avviato dopo che tutti i componenti necessari sono stati eseguiti correttamente. Le sue operazioni sono abbastanza simili alle versioni precedenti: i file vengono crittografati utilizzando un robusto motore di crittografia di destinazione e l’estensione CRAB viene applicata ai file della vittima. Il virus prende comunemente di mira dati come i seguenti:

• Backup
• Documenti di lavoro
• Immagini
• Video
• Musica

Le cause più comuni delle infezioni da virus informatici sono la disattenzione e negligenza degli utenti, oltre che la completa assenza di protezione di rete e dispositivi.
Per evitare questo rischio, va segnalato che i file inviati da indirizzi e-mail sconosciuti non devono mai essere scaricati o visualizzati.

Inoltre, si consiglia inoltre di scaricare app solo da fonti ufficiali, utilizzando collegamenti per il download.
Ricorrere ad un pacchetto antivirus/antispyware valido e mantenere aggiornato il software; tuttavia, poiché i criminali propagano il malware anche tramite finti programmi di aggiornamento , utilizzare le funzionalità di aggiornamento implementate o gli strumenti forniti dallo sviluppatore ufficiale.

La prudenza è la pietra angolare della sicurezza informatica.

Segnalare l’attacco ransomware

Se sei stato vittima di un attacco informatico, ti invitiamo a contattarci il prima possibile.

Isolare il dispositivo infetto

I ransomware hanno lo scopo di propagarsi sull’intera rete locale, crittografare i file presenti su dispositivi di archiviazione esterni e sui singoli host.
Per questo motivo è fondamentale isolare il prima possibile il device infetto.

Interrompere la connessione Internet

Il modo più semplice per disconnettere un computer da Internet è letteralmente togliere i cavi di rete dal proprio dispositivo e disconnettere il device dalla rete wi-fi.

Infine, scollega immediatamente tutti gli account di archiviazione cloud.
Il ransomware potrebbe essere in grado d’impossessarsi del software che controlla il sistema di gestione di “Cloud data”. Fino a quando il virus non sarà stato completamente debellato dal dispositivo, potresti anche rimuovere temporaneamente il programma di gestione del cloud.

Identificare l’infezione

Al fine di diagnosticare co esattezza la tipologia di attacco ransomware in corso servirà l’intervento di una società di sicurezza informatica.

La sicurezza dei dati richiede una corretta gestione dei file e delle tecnologie di rete.

La rimozione manuale di ransomware GandCrab potrebbe essere un processo lungo e complicato che richiede competenze informatiche avanzate.