Un’estorsione in piena regola, eseguita utilizzando strumenti evoluti che garantiscono il massimo anonimato ai pirati informatici. A perpetrarla è Onion, un virus (ma tecnicamente sarebbe meglio definirlo “malware”) individuato dai laboratori Kaspersky in queste ore. Onion appartiene alla categoria dei trojan – ransomware, malware che utilizzano vari tipi di minaccia per estorcere denaro alle loro vittime.

Una categoria divenuta celebre con quello che è stato ribattezzato il “virus della polizia postale”. Comparso qualche anno fa, bloccava il computer del malcapitato visualizzando un falso avviso di sequestro da parte della Polizia Postale e pretendeva un pagamento tramite carta di credito per sbloccare il sistema. Onion, però, utilizza metodi più sofisticati: il trojan codifica attraverso un sistema crittografico tutti i documenti presenti sul computer infetto, rendendoli di fatto inaccessibili al proprietario. Insomma: i dati sono tutti ancora sull’hard disk, ma senza la password non possono essere letti. In cambio di quest’ultima, il trojan visualizza una richiesta di riscatto in Bitcoin, la cripto-moneta che garantisce transazioni (quasi) anonime via Internet.

Lo stesso messaggio mette in guardia la vittima dal tentare di eliminare il trojan, operazione che porterebbe alla cancellazione della chiave crittografica per decodificare i documenti, provocandone la perdita definitiva. Nel caso di altri ransomware che usano tecniche simili, non sarebbe un grande problema: nella maggior parte dei casi i dati possono essere recuperati facilmente. Secondo il report degli analisti Kaspersky, però, “Onion utilizza uno schema di crittografia non convenzionale che rende impossibile la decodifica dei file”. Le cose sono ulteriormente complicate dal fatto che le comunicazioni tra il trojan e il server che ne controlla l’attività sfrutta il circuito Tor, il sistema di navigazione anonima open source utilizzato anche dai dissidenti politici per aggirare la censura. Non solo: i dati scambiati sono a loro volta crittografati usando un metodo piuttosto elaborato, impedendone così la lettura anche in caso di intercettazione.

La complessità del malware, però, non è l’unica stranezza legata alla vicenda di Onion. Per ottenere la “liberazione” dei documenti, infatti, la vittima dovrebbe eseguire un pagamento in Bitcoin e collegarsi a un server sul circuito Tor (usando Tor Browser) per scaricare la chiave crittografica. Entrambe le operazioni richiedono conoscenze tecniche ben poco comuni, motivo per cui il trojan installa sul computer della vittima un programma che permette di eseguire il cambio in Bitcoin ed effettuare il pagamento automaticamente.

Nel caso in cui il software venisse cancellato, per esempio a causa dell’intervento dell’antivirus, il malcapitato dovrebbe invece cavarsela da solo, effettuando le operazioni manualmente. Per il momento, le infezioni attribuibili a Onion sono solo qualche decina, individuate principalmente nell’area delle repubbliche ex-sovietiche. Alcuni casi isolati, però, si sono verificati anche in Germania, Bulgaria, Israele, Emirati Arabi e Libia.