Aggiornamenti recenti Aprile 24th, 2024 2:00 PM
Apr 11, 2017 Marco Schiaffino Malware, Minacce, News, Ransomware, RSS 0
Uno dei timori espressi da molti esperti di sicurezza negli ultimi mesi riguardo i ransomware, è quello che si verifichi un “salto di qualità” nella capacità di diffusione dei malware.
Nonostante l’impatto dei ransomware sia notevole, per il momento i cyber-criminali si sono accontentati di utilizzare vettori di attacco piuttosto convenzionali, utilizzando email di phishing, Exploit Kit o caricando i ransomware su macchine già infettate da trojan.
Cosa succederebbe se qualcuno mettesse a punto un ransomware-worm in grado di diffondersi indipendentemente?
I primi tentativi di questo genere si stanno già verificando, anche se le tecniche usate dai pirati sono ancora piuttosto artigianali.
Lo stratagemma usato da Matrix, un ransomware comparso tempo fa ma ora distribuito in una nuova versione, è però piuttosto ingegnoso.
Matrix è un classico crypto-ransomware, programmato per cifrare tutti i file che individua in determinate cartelle e chiedere un riscatto in Bitcoin che la vittima deve pagare per ottenere la chiave che consente di “liberare” i file.
Mentre crittografa i dati, però, Matrix si dà anche da fare per cercare di diffondersi su altri computer. A questo scopo il malware crea una trappola piuttosto complessa.
Per prima cosa individua una serie di cartelle predefinite e ne modifica le proprietà in modo che siano nascoste. Poi crea un collegamento alla cartella stessa, che ha lo stesso nome e la stessa posizione. Insomma: agli occhi di chi guarda lo schermo, l’unica differenza rispetto a prima è che l’icona è cambiata da quella di una normale cartella a un collegamento.
In realtà c’è di più: nella cartella nascosta, infatti, c’è anche un file chiamato desktop.ini, che contiene il ransomware stesso. Il collegamento inserito al posto della cartella, inoltre, contiene una serie di istruzioni: %SystemRoot%\system32\cmd.exe /C explorer.exe “NomeCartella” & type “NomeCartella\desktop.ini” > “%TEMP%\OSw4Ptym.exe” && “%TEMP%\OSw4Ptym.exe”.
Quando si attiva il collegamento, di conseguenza, sul sistema viene per prima cosa aperta la cartella nascosta in explorer.exe, in modo che l’utente veda normalmente i file in essa contenuti. Nel frattempo, però, l’eseguibile viene copiato in una cartella temporanea e poi avviato.
Lo stratagemma permette di colpire i computer che si collegano a cartelle condivise del computer infetto, o che usano unità di memoria esterne che erano collegate al PC quando è stato infettato.
Il rischio di diffusione quindi è piuttosto limitato, per lo meno in ambito casalingo. Ma può diventare un problema più serio in un’azienda, dove la condivisione di cartelle e l’utilizzo di unità rimuovibili è più comune.
Apr 22, 2024 0
Apr 19, 2024 0
Apr 16, 2024 0
Mar 28, 2024 0
Apr 24, 2024 0
Apr 24, 2024 0
Apr 23, 2024 0
Apr 23, 2024 0
Apr 24, 2024 0
ToddyCat, un gruppo APT che colpisce prevalentemente...Apr 18, 2024 0
La corsa all’IA generativa ha spinto i produttori di...Apr 16, 2024 0
LockBit continua a colpire le organizzazioni di tutto il...Apr 15, 2024 0
Il 41% delle imprese italiane subisce mensilmente attacchi...Apr 12, 2024 0
In occasione del Privacy Tour 2024, l’iniziativa del...Mag 04, 2018 0
E se vi dicessimo che la saga di Star Wars ...Nov 14, 2016 2
Abbiamo rubato al blog di Kaspersky un vecchio pezzo di...Nov 08, 2016 2
Il numero uno degli scacchi mondiali Magnus Carlsen ha...Ott 28, 2016 0
Il pirata informatico che ha creato il ransomware cerca...Ott 11, 2016 0
Dopo la raffica di figuracce, l’azienda sospende per...Apr 24, 2024 0
I ricercatori di Cisco Talos hanno scoperto una nuova...Apr 24, 2024 0
ToddyCat, un gruppo APT che colpisce prevalentemente...Apr 23, 2024 0
In occasione dell’Italian Partner Conferencetenutasi...Apr 23, 2024 0
Un team di ricercatori ha sviluppato quello che ritengono...Apr 22, 2024 0
Nel periodo compreso tra il 13 e il 19 aprile,...