Nell'ambito di una articolata attività di indagine nella quale il Servizio di Polizia Postale e delle Comunicazioni ha collaborato con Europol e omologhe forze di Polizia estere europeo, è stato sviluppato e rilasciato un nuovo strumento di decrittografia, pubblicato gratuitamente sul portale di Europol dedicato alla materia ed il supporto cyber, che consente di recuperare file oggetto di infezione del ransonware GandCrab. Il kit di recupero dati è stato sviluppato dalla polizia rumena in collaborazione con i suoi omologhi di Bulgaria, Francia, Polonia, Paesi Bassi, Regno Unito e Stati Uniti e dal CNAIPIC del Servizio Polizia Postale delle Comunicazioni, con il contributo delle società di sicurezza Bitdefender ed Europol.
La campagna GandCrab è uno degli attacchi malware più aggressivi degli ultimi mesi, che ha contagiato quasi mezzo milione di vittime da quando è stato rilevato per la prima volta nel gennaio 2018. Una volta che il ransomware rileva il computer di una vittima e crittografa i suoi file, richiede un riscatto che va da 300 a 6.000 dollari. Il riscatto deve essere pagato tramite valute virtuali note per rendere difficilmente tracciabili le transazioni online, come DASH e Bitcoin. Quanto messo a punto rappresenta lo strumento di decrittografia più completo finora disponibile per questa particolare famiglia di ransomware: funziona per tutte tranne due versioni esistenti del malware (v.1, 4 e 5), indipendentemente dalla posizione geografica della vittima.
Già a febbraio è stato reso disponibile un primo strumento di decrittografia su "No More Ransom", una seconda versione del ransomware GandCrab è stata successivamente rilasciata dai criminali, questa volta con una codifica migliorata che includeva anche commenti per provocare le forze dell'ordine e le società di sicurezza cyber. Una ulteriore terza versione seguì il giorno dopo. Nella sua attuale quinta versione, il malware continua a essere aggiornato a un ritmo aggressivo. I suoi sviluppatori stanno rilasciando costantemente nuove versioni di esso, con nuovi e più sofisticati campioni messi a disposizione per bypassare le contromisure dei fornitori di servizi di cybersicurezza.
La rapida diffusione di GandCrab è dovuta a uno schema di ransomware-as-a-service, che offre sul darkweb, anche agli aspiranti cybercriminali con poca o nessuna esperienza tecnica, un toolkit per lanciare attacchi di malware facili e veloci, in cambio del 30% di ogni pagamento di riscatto. Le vittime di tale campagna ransomware possono visitare il sito www.nomoreransom.org ove questo nuovo strumento di decrittografia e' disponibile gratuitamente. La migliore strategia contro le campagne ransomware rimane comunque quella di attivare corrette procedure preventive.
Consigli utili: conservare sempre una copia di backup dei file più importanti su supporto esterno alla macchina in uso: in un cloud, su un'altra unità di memoria, su una memory stick o su un altro computer; utilizzare un software antivirus affidabile e sempre aggiornato; non scaricare programmi da fonti sospette; non aprire allegati in e-mail da mittenti sconosciuti, anche se sembrano importanti e credibili; non pagare il riscatto richiesto, in quanto, oltre a finanziare forme di criminalità informatica, nessuno può garantire l'effettiva decrittazione dei file cifrati.