Un nuovo ransomware, chiamato CryCryptor, sta prendendo di mira gli utenti Android canadesi. Viene distribuito tramite svariati siti web che fingono di essere portali in rete realizzati dal governo.
Secondo uno studio condotto dalla società di sicurezza informatica ESET, CryCryptor è apparso in rete poco dopo l'annuncio da parte del governo canadese di un'applicazione per il tracciamento dei contagiati di COVID-19, che utilizza informazioni volontariamente fornite dai cittadini.
Sito web fraudolento invita le vittime a installare un malware. Fonte: ESET
Quando la vittima installa l'applicazione, il ransomware cripta tutti i file del dispositivo e genera un file di testo contenente l'indirizzo e-mail da contattare per poter pagare il riscatto.
Un ransomware open source
Il codice del ransomware si basa su un progetto open source disponibile su GitHub. Gli autori del progetto sostengono di aver pubblicato il codice soltanto a fini di ricerca, ma gli esperti nutrono dei dubbi in merito:
"Gli sviluppatori del ransomware open source, che hanno chiamato CryDroid, sono certamente consapevoli del fatto che il codice sarebbe stato utilizzato per fini malevoli.
Sostengono che il progetto abbia fini di ricerca, e che il codice sia stato anche caricato sul servizio VirusTotal. Sebbene non sia chiaro chi sia stato, in effetti il codice è apparso su VirusTotal lo stesso giorno della pubblicazione su GitHub.
Gli analisti di ESET hanno sviluppato un'applicazione che consente di decriptare i file delle vittime del malware, ma sottolineano che funziona soltanto con la versione corrente di CryCryptor.
Uno studio condotto dalla società di sicurezza informatica Crypsis Group mostra un costante incremento dei casi di ransomware: fra il 2018 e il 2019, il numero di questi incidenti è aumentato del 200%.