Nuovo ricatto in bitcoin con minaccia di divulgazione video webcam

Ricatto via mail in bitcoin con minaccia di divulgazione video pornograficoDopo l’ondata di quest’estate di ricatti con estorsione in bitcoin e minaccia di divulgare video ripresi dalla webcam del proprio PC a seguito di un hack arriva oggi una nuova ondata di estorsioni di tipo “sextorsion“, sempre via mail, ma questa volta con argomentazioni diverse e completamente in italiano.

I criminali comunicano ora a numerosi utenti ignari (le cui email sono state prelevate online probabilmente da diverse fonti) di aver bucato il loro account di posta elettronica scaricando tutte le informazioni riservate e, come se non bastasse, hanno installato anche un trojan sul sistema tramite il quale hanno ripreso attraverso la webcam la povera vittima durante la visione di filmati pornografici, sincronizzando persino la ripresa della webcam del PC con il filmato pornografico.

Il delinquente minaccia quindi tramite la sua “sextortion” di divulgare i video e i contenuti acquisiti dalla casella di posta ai contatti della vittima, se questi non paga entro due giorni la modica cifra di 300 dollari a un indirizzo bitcoin del wallet del criminale. In caso di pagamento, il criminale cancellerà tutti i file e filmati “rubati” alla povera vittima tramite l’account di posta e la webcam del PC attivata tramite un trojan/virus installato sui siti porno.

Cosa dice il messaggio di SPAM?

Ecco un esempio di messaggio di “sextortion” (cioè di estorsione a sfondo sesssuale) ricevuto da una delle tante vittime in data odierna:

From: info@_________.it
Subject: Relativamente alle questioni di sicurezza
To: info@_________.it
Ciao, caro utente di _________.it

Abbiamo installato un trojan di accesso remoto sul tuo dispositivo.

Per il momento il tuo account email è hackerato (vedi , ora ho accesso ai tuoi account). Ho scaricato tutte le informazioni riservate dal tuo sistema e ho anche altre prove. La cosa più interessante che ho scoperto sono i video dove tu masturbi.

Avevo incorporato un virus sul sito porno dopo di che tu l’hai installato sul tuo sistema operativo. Quando hai cliccato su Play di un video porno, in quel momento il tuo dispositivo ha scaricato il mio trojan. Dopo l’installazione la tua camera frontale ti filma ogni volta che tu masturbi, in più il software è sincronizzato con video che tu scegli.

Per il momento il software ha raccolto tutte le informazioni sui tuoi contatti dalle reti sociali e tutti gli indirizzi email. Se tu vuoi che io cancelli tutti i dati raccolti, devi trasferirmi $300 in BTC (criptovaluta). Questo è il mio portafoglio Bitcoin: 1CXup5BRrEFuBHDeQcduCvfu3P48rXHrck
Una volta letta questa comunicazione hai 2 giorni a disposizione.

Appena hai provveduto alla transazione tutti i tuoi dati saranno cancellati.
Altrimenti manderò i video con le tue birichinate a tutti i tuoi colleghi e amici!!!

E da ora in poi stai più attento!
Per favore, visita solo siti sicuri!
Ciao!

E’ tutto vero? Devo preoccuparmi?

Ovviamente è tutto un bluff, i delinquenti non hanno nulla, non hanno avuto accesso (o “hackerato”, come dicono loro) all’account di posta né incorporato virus su siti porno (cosa che talvolta avviene, in realtà, ma non in questo caso) né installato malware che spiano la webcam degli utenti.

Non c’è quindi motivo di preoccuparsi. A differenza di altre ondate si spam, in questo caso i delinquenti non hanno neanche utilizzato dati provenienti da leak di username e password, accontentandosi di elenchi di indirizzi email probabilmente prelevati dal web, dal whois dei domini o da leak dei quali però non hanno utilizzato le password per “spaventare” le vittime.

Ma l’hacker ha inviato la mail dal mio indirizzo, quindi è entrato…

Uno degli aspetti che turba maggiormente chi riceve questi messaggi è proprio il fatto di vedere come mittente il proprio indirizzo. Questo però non significa che il delinquente ha avuto accesso al nostro account o possieda la nostra password, semplicemente ha forgiato il messaggio in modo da “fingere” la presenza del mittente identica al destinatario, cosa fattibile con programmi d’invio spam, a mano tramite telnet/netcat oppure tramite servizi come Emkei.

Per quanto gli header del messaggio siano ingannevoli, si tratta di intestazioni passate dal software di spam al server SMTP di terminazione della catena degli MTA, quello che ospita la mailbox del ricevente, che può essere più facilmente “ingannato” con header fasulli che, appunto, rendono credibile l’invio di una mail dalla stessa casella che l’ha ricevuta.

Cosa devo fare?

Non c’è bisogno di fare nulla, spesso la mail viene filtrata automaticamente dal provider salvandola nella cartella dello SPAM, quando non fosse è sufficiente ignorarla e cancellarla, dato che non c’è nulla di vero.

I criminali non hanno la nostra password, non hanno installato alcuno spyware, non hanno bucato caselle di posta o fatto altro, hanno semplicemente preso liste di nomi ed email dal web sperando di trovare vittime che pagassero il riscatto ritenendo attendibile la minaccia.

Possiamo, comunque, approfittare di questo episodio per mettere un po’ in sicurezza i nostri account e verificare se la nostra mail è presente sul database delle credenziali messe a disposizione dai criminali sul dark web nei vari password leak consultando il sito Have I Been Powned e, in caso positivo, verificare di aver cambiato la nostra password senza riciclarla peraltro su più siti o servizi diversi.

Altro consiglio, valido sempre, è quello di attivare i meccanismi di protezione tramite autenticazione a due fattori, cosa che impedisce a terzi di accedere ai nostri profili anche in caso di divulgazione della nostra password.

Qualcuno ha pagato il riscatto?

La speranza dei delinquenti è che chi riceve la mail si senta vulnerabile e, nel dubbio, paghi con una transazione in bitcoin di $ 300 all’indirizzo 1CXup5BRrEFuBHDeQcduCvfu3P48rXHrck, che osserviamo è lo stesso per tutte le email. In altri casi di estorsione, l’indirizzo su cui viene richiesto il pagamento del riscatto in bitcoin cambia da utente a utente, rendendo quindi più difficile l’analisi dei pagamenti.

In questo caso, essendo l’address bitcoin su cui il fantomatico “hacker” richiede il versamento del ricatto sempre lo stesso, possiamo visionare sulla blockchain quanto è l’importo a oggi pagato. L’indirizzo bitcoin 1CXup5BRrEFuBHDeQcduCvfu3P48rXHrck risulta aver ricevuto a oggi 0.09762462 BTC, corrispondenti a poco più di 500 euro in due transazioni da circa 300 dollari l’una.

Indirizzo 1CXup5BRrEFuBHDeQcduCvfu3P48rXHrck per il pagamento del riscatto

Tali transazioni potrebbero essere due pagamenti eseguiti da parte di due vittime che “ci sono cascate” ma anche due versamenti fatti dal delinquente stesso per dimostrare a chi volesse verificare che qualcuno sta pagando, sperando così magari di convincere chi fosse incerto a farlo. I fondi a oggi non sono ancora stati spesi, cosa che permetterebbe di tentare attività di tracciamento, clusterizzazione e potenzialmente deanonimizzazione delle transazioni a meno di una certa attenzione da parte del criminale.

Aggiornamento al 13 settembre 2018: arrivano altri pagamenti e altri indirizzi bitcoin

L’ondata di spam continua e stanno arrivando diversi pagamenti sull’indirizzo del riscatto. A oggi siamo a 11 pagamenti per un totale di quasi 3.000 dollari. A questo punto, l’ipotesi iniziale dei pagamenti fatti dai delinquenti per convincere le vittime della “serietà” della minaccia passa in secondo piano: si tratta evidentemente di pagamenti di riscatto da parte di chi ha ricevuto il messaggio di posta e lo ha ritenuto attendibile.

Sembra che siano state inviate mail con indicazione di ulteriori indirizzi bitcoin su cui ricevere il riscatto. L’utente JAMESWT_MHT mostra su Twitter una mail di spam con l’indirizzo  bitcoin 13Bh4xUP37EQgpEdkhZWYuLKMLGfmp1zym, su cui però a oggi non sono ancora stati ricevuti pagamenti. Altri utenti ci segnalano anche l’indirizzo bitcoin 1CSsVgPgwTNLGgQCHRBPa7ZNH7oxK9cf2k sul quale nel messaggio a loro indirizzato viene richiesto il pagamento del riscatto, indirizzo che a oggi ha ottenuto quattro pagamenti per quasi un migliaio di dollari.

Aggiornamento al 14 settembre 2018: il messaggio viene diffuso anche in altre lingue

L’amico Gianluca Varisco ha raccolto in un post su Facebook lo stesso messaggio descritto nel presente post ma in lingua francese e tedesca, con indirizzi bitcoin differenti.

La versione Francese contiene il seguente testo, che invita a pagare 250$ sull’indirizzo bitcoin 18firbfmx4KoNeM4cBhcDdXgp2Aiduo43G:

Bonjour, cher utilisateur de xxx.fr
Nous avons installé un logiciel RAT dans votre appareil.
Pour l’instant, votre compte e-mail est piraté (voir pour , j’ai maintenant accès à vos comptes).
J’ai téléchargé toutes les informations confidentielles de votre système et j’ai obtenu des preuves supplémentaires.
La chose la plus intéressante que j’ai découvert est celui des enregistrements vidéo de votre masturbation.

J’ai posté mon virus sur un site porno, puis vous l’avez installé sur votre système d’exploitation.
Lorsque vous avez cliqué sur le bouton Play on porn video, à ce moment-là mon troyen a été téléchargé sur votre appareil.
Après l’installation, votre caméra frontale prend une vidéo chaque fois que vous vous masturbez. De plus, le logiciel est synchronisé avec la vidéo de votre choix.

Pour le moment, le logiciel a collecté toutes vos informations de contact sur les réseaux sociaux et les adresses e-mail
Si vous devez effacer toutes vos données collectées, envoyez-moi 250$ en BTC (crypto-monnaie).
Ceci est mon portefeuille Bitcoin: 18firbfmx4KoNeM4cBhcDdXgp2Aiduo43G
Vous avez 2 jours après avoir lu cette lettre.

Après votre transaction, je vais effacer toutes vos données.
Sinon, je vais envoyer une vidéo avec vos farces à tous vos collègues et amis !!!

Et désormais, soyez plus prudent!
Visitez uniquement les sites sécurisés!
Au revoir!

La versione Tedesca invita a versare 300 dollari sugli indirizzi bitcoin 1KxCvtggcPd7c9UtUxYkJW2AwCQMknJkth e 1MZHWpgmUyjmExofPDCmYuVz9kmnTpu6m:

„Subject: Es geht um Ihre Sicherheit.
Hallo, lieber Benutzer von XXXX

Wir haben eine RAT-Software auf Ihrem Gerät installiert.
Zu dieser Zeit ist Ihr E-Mail-Konto gehackt (siehe , jetzt habe ich den Zugriff auf Ihre Konten).
Ich habe alle vertraulichen Informationen von Ihrem System heruntergeladen und ich habe weitere Beweise erhalten.
Die interessantesten Sachen, die ich entdeckt habe, sind Videos von Ihnen auf denen Sie masturbieren.

Ich habe meinen Virus auf die Pornoseite gepostet, und dann haben Sie ihn auf Ihren Betriebssystem installiert.
Als Sie auf den Button „Play“ auf Porno-Video geklickt haben, wurde mein Trojaner in diesem Moment auf Ihr Gerät heruntergeladen.
Nach der Installation nimmt Ihre Frontkamera jedes Mal, wenn Sie masturbieren, ein Video auf; zusätzlich wird die Software mit dem von Ihnen gewählten Video synchronisiert.
Zur Zeit hat die Software alle Ihre Kontaktinformationen aus sozialen Netzwerken und E-Mail-Adressen gesammelt.
Wenn Sie alle Daten gesammelt von Ihr System löschen müssen, senden Sie mir $300 in BTC (Kryptowährung).
Das ist mein Bitcoin Wallet: 1KxCvtggcPd7c9UtUxYkJW2AwCQMknJkth
Sie haben 2 Tage nach dem Lesen dieses Briefes.

Nach Ihrer Transaktion werde ich alle Ihre Daten löschen.
Ansonsten sende ich Video mit deinen Streiche an alle deine Kollegen und Freunde!!!

Aggiornamento al 16 settembre 2018: nuovi indirizzi bitcoin per il pagamento del riscatto

Nuove segnalazioni ci indicano questo indirizzo su cui viene richiesto il pagamento del riscatto per non divulgare i fantomatici video ripresi tramite la webcam del PC (che, ricordiamo, in realtà non esistono, dato che i criminali non hanno avuto accesso né a mail né a PC).

  • 1PtDCgLv2vEe9yJATBFkTRY3nCJ2kwkQT2
  • 13yB2gZppype2pajdsVPZDw856MFw9goFQ
  • 1J6dbvxdFtbAZq51QorWvWcqsG9CePYM7a

Aggiornamento al 18 settembre 2018: cambia il testo e arriva il “gruppo internazionale famoso di hacker”

La mail muta il contenuto, mantenendo gli stessi toni, aggiungendo il riferimento a  un fantomatico “gruppo internazionale famoso di hacker” e utilizzando come per il caso precedente lo stesso mittente del destinatario, per convincerlo di aver effettivamente avuto accesso alla sua casella di posta. L’oggetto del messaggio di spam è ora: “La tua vita segreta” oppure “Tuo account” o ancora “Avviso di sicurezza!” oppure “Il tuo account è hackerato!“e il contenuto sulla linea di quanto segue:

Da: ___________@_____.it
A:___________@_____.it
Oggetto: La tua vita segreta (oppure “Tuo account” o ancora “Avviso di sicurezza!” o “Il tuo account è hackerato!“)

Salve!

Come avrai già indovinato, il tuo account r.morra@alice.it è stato hackerato, perché è da lì che ho inviato questo messaggio. 🙁

Io rappresento un gruppo internazionale famoso di hacker.
Nel periodo dal 22.07.2018 al 14.09.2018, su uno dei siti per adulti che hai visitato, hai preso un virus che avevamo creato noi.
In questo momento noi abbiamo accesso a tutta la tua corrispondenza, reti sociali, messenger.
Anzi, abbiamo i dump completi di questo tipo di informazioni.

Siamo al corrente di tutti i tuoi “piccoli e grossi segreti”, sì sì… Sembra che tu abbia tutta una vita segreta.
Abbiamo visto e registrato come ti sei divertito visitando siti per adulti… Dio mio, che gusti, che passioni tu hai… 🙂

Ma la cosa ancora più interessante è che periodicamente ti abbiamo registrato con la web cam del tuo dispositivo, sincronizzando la registrazione con quello che stavi guardando!
Non credo che tu voglia che tutti i tuoi segreti vedano i tuoi amici, la tua famiglia e soprattutto la tua persona più vicina.

Trasferischi 300$ sul nostro portafoglio di criptovaluta Bitcoin: 1LXxZyP7CKybaXA6jELu5YJ6UQzbdZz8RP
Garantisco che subito dopo provvederemo a eliminare tutti i tuoi segreti!
Dal momento in cui hai letto questo messaggio partirà un timer.
Avrai 48 ore per trasferire la somma indicata sopra.

Appena l’importo viene versato sul nostro conto tutti i tuoi dati saranno eliminati!
Se invece il pagamento non arriva, tutta la tua corrispondenza e i video che abbiamo registrato automaticamente saranno inviati a tutti i contatti che erano presenti sul tuo dispositivo nel momento di contagio!

Mi dispiace, ma bisogna pensare alla propria sicurezza!
Speriamo che questa storia ti insegni a nascondere i tuoi segreti in una maniera adeguata!
Stammi bene!

Anche in questo caso, la mail è un “bluff”, uno spam inviato a centinaia di migliaia di persone scelte a caso, sperando di convincerle della veridicità delle affermazioni ivi contenute. La realtà è che il fantomatico hacker non ha avuto accesso a corrispondenza, reti sociali, messenger né alla webcamIl delinquente sta semplicemente sperando che i riceventi cadano nel tranello e paghino l’esigua cifra richiesta, nel dubbio che ci possa essere qualcosa di vero in quanto riportato nel messaggio.

Si consideri infatti l’aspetto tecnico del pagamento del riscatto, che dimostra che è tutto un fake: le mail di ricatto contengono tutte lo stesso indirizzo bitcoin 1LXxZyP7CKybaXA6jELu5YJ6UQzbdZz8RP, per quanto talvolta cambi, ripetendosi però identico tra gruppi di destinatari. Se la richiesta di riscatto fosse reale, i delinquenti dovrebbero:

  1. Richiedere alle vittime, una volta fatto il pagamento tutte sullo stesso indirizzo bitcoin, di fornirne la prova comunicando in qualche modo l’identificativo della transazione bitcoin, per poterle distinguere;
  2. Fornire – sempre nel caso i un unico pagamento – alle vittime un codice distintivo (cosa che i ransomware in genere fanno) per permettere ai malcapitati di poter indicare chi sono quando pagano il riscatto;
  3. Fornire a ogni vittima un indirizzo diverso, così da poter distinguere un pagamento dall’altro e quindi capire quali dati andrebbero eliminati per mantenere la “promessa” fatta (“Garantisco che subito dopo provvederemo a eliminare tutti i tuoi segreti!“);

Nessuna di queste due operazioni viene richiesta, questo significa che il pagamento, in ogni caso, se fatto (cosa che sconsigliamo altamente) sull’indirizzo 1LXxZyP7CKybaXA6jELu5YJ6UQzbdZz8RP non può essere identificato dal delinquente, risultando perciò mescolato insieme agli altri e indistinguibile.

Aggiornamento al 16 ottobre 2018: altro testo e altri indirizzi

Numerose segnalazioni ci riportano come il testo della mail con la richiesta di riscatto sia cambiato, aprendo ora il messaggio con un “Il mio nickname in darknet è smith42” (o username simili).

Il testo completo del messaggio di spam è il seguente:

Ciao!

Il mio nickname in darknet è smith42.
Ho hackerato questa cassetta postale più di sei mesi fa,
attraverso di esso ho infettato il tuo sistema operativo con un virus (trojan) creato da me e ti sto monitorando da molto tempo.

Se non mi credi, per favore controlla ‘from address’ nella tua intestazione, vedrai che ti ho mandato una email dalla tua casella di posta.

Anche se hai cambiato la password, non importa, il mio virus ha intercettato tutti i dati di cache sul tuo computer
e automaticamente salvato l’accesso per me.

Ho accesso a tutti i tuoi account, social network, email, cronologia di navigazione.
Di conseguenza, ho i dati di tutti i tuoi contatti, file dal tuo computer, foto e video.

Sono rimasto molto colpito dai siti di contenuti intimi che occasionalmente visiti.
Hai una fantasia molto selvaggia, ti dico!

Durante il passatempo e l’intrattenimento lì, ho fatto uno screenshot attraverso la fotocamera del tuo dispositivo, sincronizzandoti con quello che stai guardando.
Dio mio! Sei così divertente ed eccitato!

Penso che tu non voglia che tutti i tuoi contatti ottengano questi file, giusto?
Se sei della stessa opinione, allora penso che 300$ sia un prezzo abbastanza onesto per distruggere il sudiciume che ho creato.

Invia l’importo sopra indicato sul mio portafoglio BTC (bitcoin): 1KGjDZ7RFV39r2q1JeSpZAF5L3fnpuenmT
Non appena ricevuto l’importo di cui sopra, garantisco che i dati verranno eliminati, non ne ho bisogno.

In caso contrario, questi file e la cronologia dei siti visitati otterranno tutti i tuoi contatti dal tuo dispositivo.
Ho anche salvato i log della tua corrispondenza. Tutti i tuoi contatti avranno accesso a loro!

Dopo aver letto questa lettera hai 50 ore!
(Non appena ricevi questo messaggio, sarò informato a riguardo).

Spero di averti insegnato una buona lezione.
Non essere così indifferente, visita solo risorse provate e non inserire le tue password ovunque!
In bocca al lupo!

Il tenore del messaggio con l’estorsione è sempre lo stesso ma l’indirizzo bitcoin su cui viene richiesto il riscatto è ora il “1KGjDZ7RFV39r2q1JeSpZAF5L3fnpuenmT”, sul quale non sono stati ancora versati fondi.

Lascia un commento

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *

Questo sito usa Akismet per ridurre lo spam. Scopri come i tuoi dati vengono elaborati.