Ransomware Trojans

Ransomware Trojans

Ransomware Trojans: l'arrivo dei ricatti digitali
In questi giorni si sta svolgendo la RSA Conference 2007, una convention del settore della sicurezza informatica. In occasione di questo evento Eugene Kaspersky, dirigente della nota casa produttrice di uno dei migliori antivirus disponibili sul mercato, ha dichiarato che uno dei trend più significativi per il 2007 sarà lo sviluppo e la diffusione dei cosiddetti "Ransomware Trojans".

Si tratta di un particolare tipo di malware: praticamente questo si installa come un trojan sul pc dello sfortunato di turno (in questo caso tipicamente un'azienda) e cripta alcuni dati presi dall'hard disk dell'utente. Se si vorrà di nuovo l'accesso ai dati, si dovrà pagare una somma per riceve la chiave per decriptarlo. Si tratta di una forma di rapimento con riscatto informatico; una nuova frontiera per i cybercriminali?

In realtà questo tipo di trojan non è nuovo: il fatto è che fino ad ora sono stati usati tipi di crittografia molto semplici da rompere...il problema si presenterà nel momento in cui verranno adottati sistemi di crittografia avanzata!Questo tipo di software maligno potrebbe essere un vero problema in futuro per le aziende e per i privati: cosa ne pensate? Potrebbe arrivare il giorno in cui sarete costretti a pagare una somma per poter aver di nuovo accesso ai vostri dati, oppure si tratta solo di fantascienza criminale?

Ransomware (malware)

Ransomware is a type of malware that uses a weak (breakable) cryptosystem to encrypt the data belonging to an individual, demanding a ransom for its restoration. A cryptovirus, cryptotrojan or cryptoworm on the other hand employs a military-grade hybrid cryptosystem to take data hostage (the field known as cryptovirology predates the term "ransomware").

This type of ransom attack can be accomplished by (for example) attaching a specially crafted file/program to an e-mail message and sending this to the victim. If the victim opens/executes the attachment, the program encrypts a number of files on the victim's computer. A ransom note is then left behind for the victim. The victim will be unable to open the encrypted files without the correct decryption key. Once the ransom demanded in the ransom note is paid, the cracker will (supposedly) send the decryption key, enabling decryption of the "kidnapped" files. However, if the decryption key is in the file/program then it can be extracted and used without contacting the attacker. This is the case in any such malware that relies on symmetric cryptography alone.

There have been a few malware attacks in the past that have done this. The 1996 IEEE paper by Young and Yung[1] reviews the malware that has done this, points out the fatal flaw which is the reliance on symmetric cryptography, and shows how to use public key cryptography to solve this problem (that the attacker faces).

A cryptovirus, cryptotrojan, or cryptoworm is defined as malware that contains and uses the public key of its author. In cryptoviral extortion, the public key is used to hybrid encrypt the data of the victim and only the private key (which is not in the malware) can be used to recover the data. This is one of a myriad of attacks in the field known as cryptovirology.

Since May 2005 malware extortion attacks (that encrypt or delete data) have been appearing in greater numbers. Examples include Gpcode (many variants: Gpcode.ac, Gpcode.ag, etc.), TROJ.RANSOM.A., Archiveus, Krotten, Cryzip, and MayArchive. It is said that Gpcode.ag utilizes a 660-bit RSA public modulus. Crackers appear to be either rediscovering cryptoviral extortion or, perhaps more likely, reading the cryptographic literature on the subject.[1] [2] [3]

[edit] References
^ a b Adam Young, Moti Yung, "Cryptovirology: Extortion-Based Security Threats and Countermeasures", IEEE Symposium on Security & Privacy, pages 129-141, May 6-8, 1996.
^ Adam Young, "Building a Cryptovirus Using Microsoft's Cryptographic API," Information Security Conference---ISC '05, Jianying Zhou, Javier Lopez (Eds.), LNCS 3650, pages 389-401, 2005.
^ Adam Young, "Cryptoviral Extortion Using Microsoft's Crypto API: Can Crypto APIs Help the Enemy?," International Journal of Information Security, v. 5, n. 2, pages 67-76,