Abbiamo visto la scorsa settimana come sia in atto una nuova ondata di attacchi alle risorse informatiche in tutto il mondo tramite il ransomware cryptolocker. Questo particolare tipo di virus è molto pericoloso perché rischia di compromettere in modo irrecuperabile notevoli quantità di dati salvati sul proprio computer.
Fino ad ora però Cryptolocker era stato visto in azione verso singoli computer: l’utente inconsapevole apriva l’allegato di un’email che notificava la spedizione di alcuni prodotti e si ritrovava con i dati del proprio PC criptati senza alcuna possibilità di decriptaggio a meno del pagamento di un riscatto.
I ricercatori dei Kasperky Lab si sono accorti che una variante di CTB-Locker non agisce sui singoli computer, ma va a colpire i web server. A quanto affermano gli esperti dei laboratori del noto software antivirus, fino ad ora sono stati scoperti oltre 70 server posizionati in 10 paesi in cui i file web-root sono stati criptati.
Tra i paesi colpiti da questo ransomware anche l’Italia che si posiziona al terzo posto dietro a Stati Uniti e Russia.
I cyber-criminali che effettuano questi attacchi si concentrano ovviamente su quei siti che risultano vulnerabili per eseguire l’upload del proprio codice malevolo sul server ed eseguire la codifica dei file presenti su di esso.
Per “notificare” all’admin del sito l’avvenuto attacco, la pagina principale viene sostituita dalla pagina di “istruzioni” già vista su PC che spiega come effettuare il pagamento del riscatto richiesto per ottenere il decriptaggio.
Il riscatto equivale solitamente a meno di 0.5 bitcoin (circa 150$) tuttavia in caso il pagamento non venga eseguito in tempo, questo continua a crescere.
Attualmente non si sa ancora come CTB-Locker sia eseguito dal web server ma i tecnici di Kaspersky Lab hanno scoperto che la maggior parte dei server colpiti ospiti siti web che utilizzano CMS WordPress. La deduzione più ovvia è che quindi gli attacchi vengano portati avanti grazie a falle nella sicurezza presenti in versioni non aggiornata della celebre piattaforma per lo sviluppo di portali web.
Esistono inoltre falle anche in alcuni plugin di WordPress che vengono poi corrette con il passare del tempo. Anche in questo caso, utilizzare versioni non aggiornate può comportare notevoli rischi.
Al momento non esistono protezioni specifiche per questo tipo di attacchi. Il consiglio è quindi quello di rispettare sempre le best practices di sicurezza, su PC come su server, ovvero tenere costantemente aggiornati la piattaforma CMS e tutti i relativi plugin ed eseguire periodicamente backup del proprio portale web in modo da poter ripristinare il sito in pochi istanti in caso di attacco.
Se volete approfondire l’argomento sul blog di securelist.com è disponibile il commento di Ido Noar, Senior Security Researcher del GReAT (Kaspersky Lab).