I CryptoLocker, i pericolosi virus che codificano il contenuto del computer che può essere sbloccato solo dietro il pagamento di un riscatto, sono sempre più aggressivi e prendono di mira i server.
I ricercatori di Kaspersky Lab hanno individuato una nuova variante di CTB-Locker, un cryptolocker che prende di mira i server web anziché i computer. Attualmente, sono stati scoperti file web-root criptati con successo in oltre settanta server situati in 10 Paesi, principalmente negli Stati Uniti e in Russia. L’Italia si è posizionata al terzo posto della classifica dei Paesi più colpiti.
I cybercriminali cercano siti vulnerabili, sfruttandoli per eseguire l’upload del codice sul server e quindi codificano tutti i file su esso archiviati. Inoltre, compromettono la pagina principale del sito preso di mira inserendo informazioni sulla decriptazione, tra cui l’importo del riscatto: chiedono meno della metà di un bitcoin (all’incirca 150 dollari), ma se il riscatto non viene pagato per tempo la cifra raddoppia.
Ancora non si sa come CTB-Locker sia utilizzato sui server web, ma una caratteristica accomuna molti dei server attaccati: usano la piattaforma WordPress come tool di gestione dei contenuti. WordPress, nelle sue versioni non aggiornate, contiene molte vulnerabilità e il fatto di avere plugin di terze parti rende il server ancora più vulnerabile agli attacchi.
Al momento non esistono file di decriptazione e l’unico modo per annullare questa minaccia in pochi secondi è conservare i file archiviandoli in un luogo separato.
Per avere maggiori informazioni su CTB-Locker, è possibile leggere il commento di Ido Noar, Senior Security Researcher del GReAT di Kaspersky Lab al seguente link: https://securelist.com/blog/research/73989/ctb-locker-is-back-the-web-server-edition/