Ransomware Cortizol

Le infezioni malware continuano ad aumentare in termini di portata e complessità, rendendo essenziale per individui e organizzazioni mantenere solide difese su tutti i dispositivi. Il ransomware, in particolare, rappresenta un rischio grave perché non solo compromette la riservatezza dei dati, ma ne interrompe anche la disponibilità impedendo agli utenti di accedere ai propri file. Una minaccia analizzata di recente che esemplifica questi pericoli è il ransomware Cortizol, un sofisticato malware di crittografia dei file progettato per estorcere denaro alle vittime attraverso intimidazioni e manipolazioni tecniche.

Ransomware Cortizol: uno schema di crittografia calcolato

Il ransomware Cortizol è stato identificato durante approfondite indagini malware condotte da ricercatori di sicurezza informatica. Una volta eseguito su un sistema, il ransomware crittografa i file e ne modifica i nomi secondo uno schema distintivo. A ogni file crittografato vengono aggiunti un ID vittima, un indirizzo email di contatto e l'estensione ".Cortizol". Ad esempio, un file originariamente denominato "1.png" viene rinominato in "1.png-id-6640599815[cortizol@atomicmail.io].Cortizol", mentre "2.pdf" diventa "2.pdf-id-6640599815[cortizol@atomicmail.io].Cortizol".

Questa convenzione di rinominazione ha due scopi: segnala chiaramente che i file sono stati presi in ostaggio e incorpora dettagli identificativi che gli aggressori utilizzano per rintracciare le vittime. Oltre alla crittografia dei file, Cortizol modifica lo sfondo del desktop per rafforzare la visibilità dell'attacco e rilascia una richiesta di riscatto intitolata "HOW_TO_RECOVER.txt", assicurando che la vittima non possa ignorare l'accaduto.

La nota di riscatto e la pressione psicologica

La richiesta di riscatto afferma che tutti i file sul sistema compromesso sono stati crittografati e che la decrittazione è impossibile senza una chiave privata univoca in possesso degli aggressori. Le vittime vengono avvertite che qualsiasi tentativo di utilizzare strumenti di decrittazione di terze parti o di rinominare i file crittografati comporterà la corruzione permanente dei dati. Tali avvertimenti sono una comune tattica psicologica volta a scoraggiare i tentativi di recupero indipendenti.

Cortizol chiede alle vittime di individuare un file denominato "key.Cortizol", presumibilmente memorizzato nella directory "C:\ProgramData\" o su altre unità, e di inviarlo agli aggressori. La nota mette inoltre in guardia dal reinstallare o modificare il sistema operativo Windows senza conservare questo file chiave, rischiando la perdita irreversibile dei dati se le istruzioni non vengono seguite scrupolosamente. I canali di comunicazione includono l'indirizzo email cortizol@atomicmail.io.
e un account Telegram identificato come Cortizol2025. Questo approccio di contatto multicanale aumenta la probabilità che le vittime aderiscano.

Sebbene gli aggressori insistano sul fatto che acquistare la chiave privata sia l'unico modo per ripristinare l'accesso, l'esperienza nel campo della sicurezza informatica dimostra costantemente che pagare il riscatto non offre alcuna garanzia di recupero dei file. I criminali informatici potrebbero non riuscire a fornire uno strumento di decrittazione funzionante o potrebbero semplicemente interrompere la comunicazione dopo il pagamento.

Vettori di infezione e tecniche di somministrazione

Il ransomware Cortizol si diffonde utilizzando una varietà di metodi di distribuzione consolidati. Le email di phishing rimangono uno dei meccanismi di distribuzione più efficaci, spesso contenenti allegati dannosi o link incorporati che attivano il download del payload. Falsi schemi di supporto tecnico e tattiche di ingegneria sociale aumentano ulteriormente le possibilità di interazione con l'utente.

Gli autori delle minacce distribuiscono il ransomware anche attraverso software pirata, crack e generatori di chiavi ottenuti da reti di condivisione file non ufficiali o peer-to-peer. Siti web compromessi, pubblicità ingannevoli, unità USB infette e lo sfruttamento di vulnerabilità in software obsoleti forniscono ulteriori punti di ingresso. Il payload dannoso è in genere nascosto all'interno di file eseguibili, script, archivi compressi come file ZIP o RAR o documenti apparentemente legittimi, inclusi file Word, Excel e PDF. Questa combinazione di codice dannoso con formati familiari aumenta il tasso di successo delle infezioni.

Impatto e rischi post-infezione

Una volta attivo, Cortizol non solo crittografa i file accessibili, ma può anche continuare a scansionare alla ricerca di ulteriori dati da compromettere. Se non rimosso, il ransomware può diffondersi lateralmente tra i sistemi connessi all'interno della stessa rete, amplificando l'interruzione operativa e i danni finanziari. Più a lungo il malware rimane su un dispositivo, maggiore è il rischio di crittografia estesa e potenziale distribuzione di payload secondari.

Il ripristino senza la chiave privata degli aggressori è in genere impossibile, a meno che non esistano backup sicuri e integri. Per questo motivo, le organizzazioni e i singoli utenti con backup affidabili offline o basati su cloud sono in una posizione molto più vantaggiosa per ripristinare le operazioni senza soccombere a richieste di estorsione.

Rafforzare le difese contro il ransomware

Una difesa efficace contro minacce come Cortizol richiede un approccio di sicurezza a più livelli che combini misure di sicurezza tecniche con la consapevolezza degli utenti. Le seguenti pratiche riducono significativamente l'esposizione alle infezioni da ransomware:

• Eseguire backup regolari e automatizzati, archiviati offline o in ambienti cloud sicuri, isolati dal sistema primario.
• Mantenere aggiornati i sistemi operativi, le applicazioni e i software di sicurezza per correggere le vulnerabilità note.
• Utilizzare soluzioni affidabili per la protezione degli endpoint, in grado di rilevare modelli di comportamento del ransomware.
• Evita di scaricare software o file piratati da fonti non ufficiali e reti peer-to-peer.
• Prestare attenzione quando si maneggiano allegati di posta elettronica o si clicca su link, in particolare se provenienti da mittenti sconosciuti o inaspettati.
• Disattivare le macro nei documenti di Office, a meno che non siano assolutamente necessarie e verificate come sicure.

Oltre a queste misure, la rimozione tempestiva del ransomware rilevato è fondamentale per impedire l'ulteriore crittografia dei file o la propagazione in rete. Le procedure di risposta agli incidenti dovrebbero includere l'isolamento del sistema interessato dalla rete, l'esecuzione di una scansione completa del malware e il ripristino di dati puliti dai backup, ove disponibili.

Il ransomware Cortizol illustra come i ransomware moderni combinino meccanismi di crittografia tecnica con ingegneria sociale e pressione psicologica. Le pratiche di sicurezza proattive, combinate con strategie di backup dei dati affidabili, rimangono le contromisure più efficaci contro queste minacce informatiche in continua evoluzione.