KimcilWare cripta siti eCommerce Magento e chiede il riscatto

Ransomware KimcilWare per MagentoCome se non bastassero i ransomware che infettano i PC, dopo il CTB-Locker che infetta siti web assistiamo alla diffusione di un nuovo criptovirus che infetta webserver e cripta il contenuto dei siti eCommerce sviluppati tramite la piattaforma CMS Magento. Il ransomware si chiama KimcilWare, chiede il riscatto in bitcoin e fa comparire al posto del portale web la pagina con la richiesta di riscatto con il testo: “Your webserver files has been encrypted with a UNIX algorithm encryptor. You must paw 140$ to decrypt your webserver files. Payment via Bitcoin only. For more information contact me at [email protected]“.

L’email “[email protected]” risulta essere già stata utilizzata in un ransomware per sistemi Windows chiamato “MireWare”, basato sull’open source “Hidden Tear”, un ransomware “educativo” all’interno del quale gli autori hanno lasciato di proposito alcuni bachi per prevenirne l’utilizzo in contesti reali.

Non è noto come il malware KimcilWare infetti i siti web realizzati tramite Magento, si uò ipotizzare che l’hacking possa avvenire sfruttando bachi di plugin obsoleti o CMS non aggiornato, anche se alcuni utenti riportano di aver subito l’attacco anche su piattaforma Magento aggiornata e risultante “pulita” dall’analisi di servizi di scansione sicurezza Magento come MageReport.

Il ransomware per Magento cripta i file all’interno del webserver aggiungendo l’estensione “.kimcilware”, come possiamo osservare su diversi siti al momento infettati, come ad esempio Komin34.pl [WBM] e binaric.com [WBM].

kimcilware-extension-website-infection

Sul forum della piattaforma di eCommerce Magento alcuni utenti parlano anche di una variante del ransomware che aggiunge ai file criptati l’estensione “.locked” e lascia un messaggio di richiesta di riscatto di un bitcoin nel file html “README_FOR_UNLOCK.txt” con il seguente contenuto:

###
ALL YOUR WEBSERVER FILES HAS BEEN LOCKED
You must send me 1 BTC to unlock all your files.
Pay to This BTC Address: 1859TUJQ4QkdCTexMTUQYu52YEJC49uLV4
Contact [email protected] after you send me a BTC. Just inform me your website url and your Bitcoin Address.
I will check my Bitcoin if you realy send me a BTC I will give you the decryption package to unlock all your files.
Hope you enjoy 😉
###

Da poche ore è comparso sul blog Fortinet un articolo che spiega come decifrare e recuperare i file criptati con il ransomware KimcilWare per Magento, sfruttando il fatto che l’encryption simmetrica tramite algoritmo Rijndael 256 viene fatta con la stessa password che la vittima può utilizzare per la decryption e tale password è ricavabile analizzando il codice. Fortinet non illustra in dettaglio come decifrare i file cifrati da KimcilWare ma indica i principi su cui si baserebbe un decryptor: nel momento in cui sarà disponibile ne parleremo sul Ransomware Blog.

Diversi siti forniscono informazioni su come rimuovere il ransomware KimicilWare, sostanzialmente i consigli di base sono:

  1. Modificare password di accesso all’area FTP/SSH;
  2. Modificare credenziali di accesso a database MySQL;
  3. Ripristinare un backup precedente all’infezione del ransomware verificando che non siano rimasti file con funzione di “backdoor” (rimane il problema che la “backdoor” potrebbe essere già presente nel backup);
  4. Aggiornare tutti i plugin e il CMS all’ultima versione;
  5. Se possibile, installare un WAF (Web Application Firewall) o integrare l’hosting con servizi come Cloudflare o Sucuri;
  6. Iscriversi a Google Search Console o Bing Webmaster Tools;
  7. Utilizzare un sistema di monitoring come Monitor.us per rilevare in tempo reale modifiche non autorizzate al sito.

Su VirusTotal è disponibile l’analisi di un sample del ransomware KimcilWare per eCommerce Magento.

Lascia un commento

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *

Questo sito usa Akismet per ridurre lo spam. Scopri come i tuoi dati vengono elaborati.