Kernsomware il ransomware Made in Italy

Questa è la storia di come 300 dollari in bitcoin portano alla scomparsa di una PMI italiana.

Anche in Italia ci sono gli hacker e anche gli hacker del nostro Paese hanno ormai abbracciato la filosofia imperante nel resto del mondo: colpire aziende e privati con virus di tipo “ransomware“, che criptano i file dei dispositivi attaccati, per poi chiedere un riscatto, oppure un doppio riscatto, alla vittima. Il primo per riottenere l’accesso ai file, il secondo per evitare che i file siano pubblicati su Internet con grossi danni reputazionali.

Si è appena scoperto Kersomware, il nuovo ransomware tutto italiano che, dopo aver cifrato i file della vittima, chiede un riscatto di 300 dollari in Bitcoin da pagare entro due ore per evitare che vengano cancellati.

Il codice malevolo è stato individuato dal ricercatore JamesWT_MHT del Malware Hunter Team che ha condiviso le sue analisi con il CERT-AgID. Kernsomware è ancora una bozza e non è pronto a colpire. Per la precisione è in fase di test: secondo il CERT-AGID, infatti, “dispone già di tutte le funzioni per il corretto funzionamento se i path assoluti, appositamente introdotti per testare il processo di cifratura sul sistema del suo creatore, vengono generalizzati“.

Visto l’importo basso del riscatto ed il tempo limitato per pagarlo si pensa che il ransomware avrà una grande diffusione e voglia colpire sia piccole aziende (il 95% delle aziende italiane) che i privati. Insomma una “pesca a strascico” in piena regola. Non facciamoci ingannare dal basso riscatto in quanto il pagamento in Bitcoin entro le 2 ore non è banale da effettuare per chi non sia già preparato e strutturato a gestire i Bitcoin. Quindi un eventuale mancato pagamento comporta la cancellazione dei file e il relativo fermo aziendale completo per diversi giorni: un danno ben superiore ai 300 dollari del riscatto. Diverse aziende non si riprendono da una perdita di dati completa ed i tempi di re-start sono tali che clienti, fornitori, banche e partner hanno già trovato altre aziende a cui rivolgersi. Un danno che porta alla scomparsa della PMI.

La difesa degli end-point attraverso soluzioni che evitino al dipendente maldestro di permettere l’accesso a malware e ransomware è, ancora una volta, la chiave di difesa principale. I vettori più comuni di iniezione nelle reti aziendali sonno infatti le email con allegati malevoli, ed il dipendente maldestro è colui che a causa di un click avventato, frettoloso o non informato permette all’attacco di entrare.