Salve! Questo è il primo articolo del Blog dedicato alla mia nuova rubrica: Feel Releases. Essendo una rubrica tutta nuova, spero che possa piacervi, non solo per i temi trattati, ma anche nei modi.
Alcuni tra voi certamente avranno sentito la notizia sulla proposta di Canonical per un nuovo installer di Ubuntu. Ebbene, vorrei partire da questo spunto per imbastire un discorso più ampio. Sebbene le migliorie grafiche siano sempre apprezzate (da chiunque oserei dire) personalmente non sono mai stato un "fan" della bellezza estetica in confronto alla funzionalità. Esatto, mi avete scoperto. Studiando Informatica all'Università ho scoperto che delle grafiche più accattivanti, possono essere indice di grandi risorse richieste (spesso inutili), per questo preferisco un programma/app dall'aspetto più "spartano", ma che riesca a partire sulla maggior parte dell'hardware in circolazione con il massimo dei risultati e della qualità. E' indubbio che il nuovo installer di Canonical sia più bello, così come è indubbio che molti brand fanno del design un mantra, tuttavia credo, ed è una mia opinione personale, che non sempre ciò che può sembrare più bello, è poi realmente più funzionale. Anzi! Spesso ci si ritrova con un software molto pesante (bellissimo da vedere) che riesce a partire solo sui device di ultima generazione (quasi spacciando questa caratteristica come un'evidenza della sua proiezione nel futuro). Non so, a me questa filosofia di pensiero non piace molto.. Voi cosa ne pensate? Fatemelo sapere con un commento, ma passiamo alla notizia principale di oggi.
Si chiama KeRnSoMwArE il nuovo ransomware tutto italiano che, dopo aver cifrato i file della vittima, chiede un riscatto di 300 dollari in Bitcoin da pagare entro due ore per evitare che i dati vengano cancellati. Il malware, al momento della notizia, è ancora in fase di test. Tuttavia, già in questo stato ha tutte le carte in regola per arrecare notevoli danni ad aziende e privati, solo con lo stratagemma di limitare l’accesso al device infetto mediante la cifratura dei file e delle cartelle in memoria, richiedendo poi, come abbiamo ormai imparato, il pagamento di un riscatto in modo da fornire alla vittima la chiave per poter decifrare i dati sequestrati. Il malware, cita CyberSecurity360, è stato "individuato dal ricercatore JamesWT-MHT del Malware Hunter Team che ha condiviso le sue analisi con il CERT-AgID". KeRnSoMwArE è il terzo ransomware sviluppato in Italia, attualmente schedato, dopo FuckUnicorn (che si è diffuso nel mese di giugno 2020 camuffato da app Immuni) e Ransomware2.0, il ransomware che colpiva i napoletani e debellato in questo febbraio. Dall’analisi del sample di KeRnSoMwArE isolato dai ricercatori risulta facile pensare che rivedendo il codice sorgente, generalizzando i path delle singole variabili KeRnSoMwArE sia più che pronto ad operare su vasta scala. KeRnSoMwArE appena si attiva, esegue sul device designato una ricerca e dei processi taskmgr e cmd, per poi terminarli. Successivamente, fa partire un coountdown di due ore e avvia contestualmente la cifratura di un file di esempio. L’algoritmo crittografico è robusto, ma la chiave è in chiaro, il che significa che è reperibile. I ricercatori inoltre, hanno scoperto che il ransomware utilizza una crittografia di tipo AES256 e per la chiave di decodifica viene utilizzato un algoritmo di tipo RSA. In questa versione di test di KeRnSoMwArE, la chiave viene memorizzata all’interno del file di esempio (quindi anche facilmente localizzabile). Un’altra caratteristica interessante del software, che conferma che sia ancora in fase di sviluppo, è che i file originali della vittima non vengono sovrascritti, ma cancellati. I dati cifrati, tuttavia, vengono archiviati in un omonimo file con estensione .Kern (da cui deriva appunto il nome del malware). Questo consente di utilizzare la chiave precedentemente salvata per recuperare facilmente i file senza neanche doverli decifrare. Tuttavia, è bene sottolineare che la procedura di decifratura dei file può avvenire con successo solo se non si termina il RansomWare. Infatti, il provider RSA viene inizializzato nella procedura di cifratura dei file e riutilizzato in quella di decifratura, pertanto se il processo venisse terminato, non si potrebbe rientrare in possesso dei propri dati. Se qualcosa dovesse andare storto, la vittima avrà due ore di tempo soltanto per pagare il riscatto di 300 dollari in Bitcoin, prima che i suoi file vengano eliminati per sempre. Tuttavia le indagini su di esso, non mostrano a chi o dove versare questa somma di denaro. Infine, ultima nota, ma non meno importante, risulta curioso notare che, come tutti gli altri ransomware, anche questo è stato progettato per colpire in tutto il mondo. In base alla versione di Windows installata sul sistema della vittima infatti, le istruzioni per il pagamento del riscatto vengono tradotte anche in: inglese, tedesco, francese e cinese. Inoltre il suo essere in fase di test ancora, non consente di poter determinare delle vere azioni contro di esso.
Tuttavia, fortunatamente per noi, come confermato dagli analisti del CERT-AgID, “al momento non si hanno evidenze di campagne mirate o di compromissioni da una versione già attiva di KeRnSoMwArE, ma è un dato di fatto l’interesse dei malware writer italiani verso i ransomware per monetizzare rapidamente”.
Infine, teniamo a mente, che nella maggior parte delle volte, questi software riescono a colpire a causa della nostra negligenza digitale, per questo, sono sempre più convinto che ci sia bisogno di "educare", sempre più persone, al mondo Digitale ed alla Teconologia in generale. Un po' la mia Missione, qui sul Web. Grazie per avermi ascoltato, spero che le notizie siano state utili, io ti ringrazio, e noi ci vediamo alla Prossima!