Archivi tag: crittografia

CRYPTOLOCKER RANSOMWARE

Sgominata la banda del cryptolocker – chiuso l’exchanger Coinbit.it. 08/07/2015

Lascia un commento

Udine, 08 luglio 2015

btc-criminalCon l’operazione denominata Cryptowash la Polizia Postale di Udine, coordinata dalla Procura distrettuale di Trieste, ha messo fine all’ attività dei criminali informatici attraverso il ransomware Cryptolocker che ha colpito numerose attività commerciali anche in Friuli ed addiritura i pc di due magistrati della Procura di Udine, come ho riportato  precedentemente proprio su questo blog . Il malware, com’è noto, una volta eseguito sul proprio personal computer, cripta in maniera progressiva decine di tipologie di file in esso conservati rendendone impossibile la fruizione se non dietro il pagamento di una somma in bitcoin per lo sbloccaggio. Solo pagando l’utente può ricevere la chiave che consentirà di decodificare i propri file.

La Questura ha dichiarato che “le indagini, partite già da alcuni mesi, hanno avuto una svolta decisiva nel marzo di quest’anno, a seguito di una denuncia sporta dall’amministratore delegato di una società friulana in cui una impiegata aveva incautamente aperto un link, pervenuto in allegato a una email che preannunciava un rimborso su una spedizione SDA“. I responsabili dell’azienda hanno deciso di pagare il riscatto versando la somma richiesta in bitcoin attraverso il sito Coinbit.it e ricevendo, in risposta, un’email contenente la chiave per decifrare i file “bloccati” da Cryptolocker.

Threat to digital currency. Criminal succeeds hacking theft. File contains Clipping mask, Transparency.

Da queste informazioni, gli agenti sono potuti risalire ad una persona residente in provincia di Padova. Durante le verifiche sono emersi “elementi di responsabilità riconducibili ad un vero e proprio sodalizio (che aveva anche una società in Estonia, sulla quale sono ancora in corso accertamenti) i cui appartenenti si presentavano come semplici intermediari di coinbit che nonostante si dichiarassero estranei alla diffusione del virus , effettuavano il cambio in bitcoin ed inviavano loro stessi  il codice per lo sbloccaggio dei computer infettati“.

Tra i gestori di Coinbit, stando a quanto riferisce la Polizia di Stato, pur essendo ancor’oggi citato tra i servizi per lo scambio di Bitcoin (vedere questa pagina), vi sarebbero quindi persone direttamente coinvolte nelle attività illecite legate al ransomware Cryptolocker. “In realtà erano perfettamente al corrente della natura illecita dei proventi incamerati (…)” dal momento che gli agenti hanno rinvenuto non soltanto “le tracce delle transazioni effettuate a seguito del pagamento dei riscatti ma addirittura hanno recuperato centinaia di messaggi che gli indagati si inviavano via smartphone“.

Con tali messaggi venivano scambiati “consigli sulla diffusione di Cryptolocker, sul riciclaggio del denaro, su come comportarsi davanti alle forze di polizia in caso di perquisizione o di assunzione di sommarie informazioni, indicazioni su nomine di avvocati di fiducia (…)“.

Secondo le prime stime della Polizia, l’associazione a delinquere avrebbe indebitamente rastrellato circa  277 mila euro e più di 1.500 persone truffate. Il sito incriminato www.coinbit.it è stato sequestrato. Tra le vittime cadute nella trappola non solo cittadini e aziende soprattutto private ma anche tribunali, come quello di Udine e Comuni, quello di Trento ad esempio, e persino strutture delle forze dell’ordine. Sette i denunciati, tutti di età compresa tra i 23 e i 27 anni, disoccupati tranne un quarantenne che ha un’attività nel settore informatico, residenti a Padova e tra le province di Brescia e Bergamo .

Anche il sottoscritto si è trovato a far fronte in questi mesi alle richieste di chi è stato colpito da questo ransomware ed ha poi utilizzato il bancomat bitcoin di Udine per poter ottenere i bitcoins con cui gli hacker si facevano pagare.  Una situazione per me imbarazzante, in quanto non è il modo migliore per diffondere l’uso della criptomoneta, ma un conto è fare il cambio valuta e magari cercare di aiutare in qualche modo chi non ne ha pratica nell’uso, un altro è fare la mezza con chi il virus lo diffonde facendosi complice dell’estorsione. Le indagini ci diranno quale è il grado di coinvolgimento dei gestori del sito coinbit.it…

Gavrilo

Link correlati:

BATM - BITCOIN ATM-BANCOMAT, BUGIARDINO - TRUFFE/SCAMS - BUFALE, CRYPTOLOCKER RANSOMWARE

Se il Friuli torna alla Lira, l’hacker si fa pagare in Bitcoin con il CryptoLocker- Messaggero Veneto 27/03/2015

Lascia un commento

CryptoLocker, l’hacker si fa pagare in Bitcoin

Sarebbe una notizia che rientra nella norma e passa pressochè inosservata, quella della titolare di un noto ristorante della zona di Udine che per sua sbadataggine, si fa infettare il computer dall’ormai conosciutissimo virus CryptoLocker, (ne parlarono anche a Striscia la Notizia alcuni mesi fa).

Il virus CryptoLocker è la derivazione di un  worm noto ormai da diversi anni ( 2008) il Gpcode.AK, che agisce criptando i dati della vittima e richiedendo poi un pagamento per la decriptazione. CryptoLocker generalmente si diffonde come allegato di posta elettronica apparentemente lecito e inoffensivo che sembra provenire da istituzioni legittime, si installa nella cartella Documents and Settings (o “Users”, nei sistemi operativi Windows più recenti) con un nome casuale e aggiunge una chiave al registro che lo mette in avvio automatico. Successivamente tenta di connettersi a uno dei server di comando e controllo, una volta connesso il server genera una chiave RSA a 2048 bit, manda la chiave pubblica al computer infetto.  Il malware quindi inizia a cifrare i file del disco rigido con la chiave pubblica, e salva ogni file cifrato in una chiave di registro. Il processo cifra solo dati con alcune estensioni, tra queste: Microsoft Office, Open document e altri documenti, immagini e file di Autocad. Il software quindi informa l’utente di aver cifrato i file e richiede un pagamento anonimo per decifrare i file. Il pagamento deve essere eseguito in 72 o 100 ore, o altrimenti la chiave privata viene cancellata definitivamente e “mai nessuno potrà ripristinare i file”. Il pagamento del riscatto consente all’utente di scaricare un software di decifratura con la chiave privata dell’utente già precaricata. (fonti Wikipedia).

Nulla di eccezionale quindi, se non fosse che l’hacker ha trovato nel Bitcoin, la miglior valuta per farsi pagare anonimamente il riscatto.

E’ questo il motivo per cui i titolari del noto ristorante udinese hanno fatto visita, come riporta l’articolo del giornale locale, al “centro Bitcoin” di viale Palmanova a Udine, sede del primo “bancomat” Bitcoin istallato in Italia (il terzo istallato in Europa a quei tempi…).Se i titolari abbiano o meno usufruito dei servizi di cambio-valute di quel “centro Bitcoin” in cui si sono recati ed abbiano poi pagato il riscatto contrariamente a quanto affermato nell’intervista, non sta certo a noi svelarlo, ma non si può non rilevare che il Friuli è tornato all’utilizzo della vecchia Lira abbandonando l’Euro. Il Messaggero Veneto infatti, nel suo articolo che riproponiamo in foto qui sotto, afferma che il riscatto per decrittare i dati del pc infetto ammonti a 0,8 BTC pari a 240 mila lire!!!

Sarà forse questo il motivo per cui l’hacker a preferito farsi pagare in Bitcoins??    lol 🙂

Al di là degli scherzi e delle “sviste valutarie”, notiamo anche come in pochissime righe, l’autore dell’articolo, il giornalista Renato D’Argenio, abbia saputo dare le informazioni minime e necessarie sul Bitcoin al largo pubblico dei lettori locali ancora ignari della rivoluzione delle criptovalute e di ciò gliene va senz’altro reso merito.

cryptolocker MVbitcoin