Ci sono ben pochi dubbi sul fatto che i ransomware siano stati la peggior minaccia informatica del 2017. In ben due occasioni, a cavallo tra primavera ed estate, due differenti attacchi del virus del riscatto – WannaCry e notPetya – hanno fatto suonare campanelli d'allarme un po' ovunque, mettendo in ginocchio grandi aziende, enti pubblici e governativi e singoli cittadini. I danni provocati sono ancora oggi incalcolabili e molte società, a mesi di distanza, sono ancora alle prese con i postumi degli attacchi ransomware.
Nonostante i consigli su come evitare ransomware e i tool per eliminare ransomware disponibili online, il numero di vittime che cadono nella trappola di hacker e organizzazioni di cybercriminali è in continua crescita. E sono molti quelli che, sconsolati, accettano di pagare il riscatto in Bitcoin per riavere indietro i loro ricordi e affetti – digitali ovviamente – più cari. Senza avere la certezza, tra le altre cose, di ottenere la chiave di sblocco necessaria a disattivare il ransomware.
L'ultima minaccia dell'anno, chiamata Scarab dagli esperti di Fortinet, assume forme e sembianze quanto meno singolari. Scarab, pur somigliando molto a Locky ransomware, prova a "invogliare" gli utenti infettati a pagare il riscatto offrendo loro una sembianza di democrazia. Ma andiamo con ordine.
Come funziona Scarab ransomware
Apparso per la prima volta a giugno 2017, Scarab è tornato in auge a fine novembre dello stesso anno, quando è stato diffuso tramite milioni di email spam inviate sfruttando la botnet Necurs. Il ransomware si attiva nel momento in cui l'utente lancia un applicativo presente all'interno del messaggio di posta elettronica: il programma invia a un server centrale l'indirizzo IP della macchina e altre informazioni che "identificano" il sistema. Una volta che il processo di crittografia è avviato, è irreversibile: anche se si disconnette il computer dalla Rete, Scarab è di fatto inarrestabile.
Richiesta di riscatto "democratica"
Gli hacker dietro la diffusione di Scarab hanno però voluto aggiungere una "piccola-grande" novità a uno schema che, altrimenti, sarebbe stato identico a moltissimi già visti sinora. Anziché stabilire una cifra per il riscatto, nel messaggio incluso nel ransomware inseriscono un indirizzo di posta elettronica – creato con il servizio di posta crittografata e anonima ProtonMail – da contattare per contrattare il riscatto. Più veloci si sarà a contattare il "centro assistenza", si legge nel file di testo, minore sarà la cifra in Bitcoin da pagare.
Effetto Bitcoin e leva psicologica
Secondo molti esperti di sicurezza informatica, la mossa degli ideatori di Scarab aggiunge una nuova variabile in un panorama già piuttosto complesso. Il processo negoziale, infatti, fa scattare una sorta di interruttore nella mente degli utenti infettati facendo sembrare loro che il pallino del gioco è stabile nelle loro mani. Mentre, alla fine, si ritroveranno a pagare ugualmente un riscatto, magari meno controvoglia del solito.
In questa decisione, probabilmente, ha influito anche il fatto che la valutazione dei Bitcoin sia ormai salita alle stelle. Se a inizio anno un riscatto di 1 Bitcoin equivaleva a pagare circa un migliaio di dollari, oggi la quotazione della criptovaluta è ben oltre i 13 mila euro (valuta al 13 dicembre 2017). Una richiesta di riscatto troppo elevata potrebbe far fuggire anche gli utenti meglio predisposti: facendo scegliere loro la cifra da pagare, invece, farà crescere le probabilità che il riscatto sarà effettivamente saldato.
Per dare prova della loro affidabilità, inoltre, i cybercriminali offrono agli utenti la possibilità di far decrittare tre file per una grandezza massima di 10 megabyte. Basterà inviarli via posta elettronica (non dovranno essere file di grande importanza, però) e attendere qualche decina di minuti per la risposta. Fate bene attenzione, però: non si tratta di un gesto di compassione o benevolenza da parte degli hacker, ma l'ennesimo trucchetto psicologico di una banda di criminali che sta provando a estorcervi del denaro.