Il Servizio di Polizia Postale e delle Comunicazioni ha collaborato con Europol ed omologhe forze di Polizia nell’ambito di una articolata attività di indagine che riguarda il noto ransomware GandCrab. La collaborazione internazionale ha consentito di sviluppare e rilasciare nella giornata odierna un nuovo strumento di decrittografia costituito da un kit di recupero dati, pubblicato gratuitamente sul portale Europol dedicato www.nomoreransom.org, che consente di decriptare i file oggetto di infezione del ransomware GandCrab.

La campagna GandCrab è uno degli attacchi malware più aggressivi degli ultimi mesi, che ha contagiato quasi mezzo milione di vittime da quando è stato rilevato per la prima volta nel gennaio 2018.
Il malware si propaga tramite messaggi di posta elettronica ingannevoli, le metodologie di attacco di questo software malevolo sono molto aggressive e consistono nella criptazione di tutti i dati contenuti nei computer delle vittime, rendendoli inutilizzabili, richiedendo un riscatto in moneta virtuale per un valore tra i 300 e i 6000 dollari per ottenere la chiave di recupero e tornare in possesso dei propri file.
GandCrab si è diffuso rapidamente perché i suoi sviluppatori hanno realizzato ad uno schema di ransomware-as-a-service, cioè un pacchetto configurabile che viene offerto in vendita sul darkweb, attraverso il quale anche i cybercriminali con poca esperienza tecnica possono utilizzare toolkit per lanciare attacchi di malware facili e veloci, in cambio del 30 % di ogni pagamento di riscatto.

Nel febbraio scorso il sito www.nomoreransom.org aveva già rilasciato un primo strumento di decrittografia, in conseguenza del quale i criminali informatici avevano aggiornato il ransomware GandCrab includendo commenti sferzanti e provocatori verso le forze dell’ordine e verso gli operatori della cyber security. Nella sua attuale quinta versione, il malware continua ad essere aggiornato ad un ritmo incalzante e i suoi sviluppatori stanno rilasciando costantemente nuove versioni con nuovi e più sofisticati mezzi per superare le contromisure dei fornitori di servizi di cybersicurezza.
Il kit di recupero dati appena rilasciato sul portale www.nomoreransom.org è stato sviluppato dalla polizia rumena in collaborazione con i suoi omologhi di Bulgaria, Francia, Polonia, Paesi Bassi, Regno Unito e Stati Uniti e dal CNAIPIC del Servizio Polizia Postale delle Comunicazioni, con il contributo di Europol e della società di sicurezza Bitdefender.
Lo strumento appena sviluppato è il miglior sistema di recupero mai rilasciato per questa particolare famiglia di ransomware e funziona per tutte le versioni esistenti, ad eccezione delle versioni v.1, 4 e 5, indipendentemente dal Paese in cui si trova la vittima. Le vittime di tale campagna ransomware possono visitare il sito www.nomoreransom.org ove questo nuovo strumento di decrittografia è disponibile gratuitamente.
La migliore strategia contro le campagne ransomware rimane comunque quella di attivare corrette procedure preventive.
Consigli utili:
– Conservare sempre una copia di backup dei propri file più importanti su un supporto esterno alla macchina in uso: ad esempio in un server cloud, su un’altra unità di memoria, su una memorystick o su un altro computer.
– Utilizzare un software antivirus affidabile e sempre aggiornato.
– Non scaricare programmi da fonti sospette.
– Non aprire allegati in email da mittenti sconosciuti, anche se sembrano importanti e credibili.
– Non pagare il riscatto richiesto, in quanto, oltre a finanziare forme di criminalità informatica, non è garantita l’effettiva decrittazione dei file cifrati.