La categoria dei ransomware si fa sempre più “virulenta” prendendo di mira anche gli script realizzati in PHP, un nuovo orizzonte per uno dei business malevoli più in voga al momento che consiglia, ora più che mai, di seguire regole di opsec (operations security) efficaci per non ritrovarsi un sito Web, o magari il proprio business on-line, compromesso.
I malware tradizionali che rientrano nella categoria dei ransomware sono programmati per "prendere in ostaggio" i file su sistemi operativi per PC client come Windows, Linux e OS X; richiedono quasi sempre il pagamento di una certa somma in denaro (generalmente sotto forma di Bitcoin o BTC) come "riscatto" per ricevere la chiave crittografica necessaria alla decodifica.
Nel caso del linguaggio di scripting server-side PHP, la nuova minaccia dei ransomware si chiama Troj/PHPRansm-B e prende di mira i server protetti da password deboli o piattaforme CMS vulnerabili; sostituito il file index.php, Troj/PHPRansm-B è in grado di codificare i file del server una volta ricevuta una particolare richiesta di upload da parte dei cyber-criminali.
Una successiva visita al sito Web infetto visualizzerà un avvertimento sull’avvenuta “cattura” dei file e tutte le istruzioni necessarie a inviare 0,4 BTC (circa 150 dollari al cambio attuale) all’indirizzo controllato dai criminali. La soluzione? Pagare quanto richiesto, come gli stessi autori del malware suggeriscono, o magari assicurarsi di utilizzare un framework Web sempre aggiornato, password più forti e meccanismi di protezione avanzati lato-server (invi compreso un antivirus) per evitare di essere infettati.
Via | Naked Security