Aggiornamenti recenti Luglio 18th, 2025 3:17 PM
Ago 17, 2017 Giancarlo Calzetta Attacchi, In evidenza, Malware, Minacce, Minacce, News, Ransomware, RSS 0
All’inizio di agosto è partita una nuova campagna di ransomware che ha visto protagonista una variante del temuto ransomware Locky, nota come IKARUSdilapidated, condotta con il metodo che è ormai un classico.
Secondo quanto riportato da Tom Spring su uno dei blog di Kaspersky Lab, uno studio effettuato dai ricercatori di Comodo Threat Intelligence Lab ha rivelato che dal 9 di agosto, fino al 12 dello stesso mese, una botnet si è occupata di inviare a oltre 60.000 indirizzi una mail con un testo molto stringato e un allegato.
Quest’ultimo ha un’estensione variabile (può essere un .doc, un .vbs, un .tiff o altro) e un nome abbastanza criptico che riporta una E seguita dalla data in notazione inversa anglosassone e un numero a tre cifre (che cambia anche lui da una mail all’altra) tra parentesi.
Se il destinatario lancia il file, si troverà davanti a un file di word pieno di caratteri incomprensibili e un avviso che sprona l’utente ad attivare le macro se la decodifica del file dovesse essere errata.
Chi cade nella trappola, forse evidente per un esperto ma sicuramente ben congegnata per colpire utenti medi, permette a uno script di scaricare il ransomware vero e proprio, che ha la particolarità di essere particolarmente sfuggente ed efficace. A quanto pare, infatti, il file del ransomware viene classificato come file sconosciuto dalla maggior parte degli antivirus e se il programma di protezione non è impostato per bloccare tutti i file non classificati, viene scaricato senza problemi.
Fin qui, non c’è niente di nuovo, ma la vera particolarità consiste nel fatto che grazie a una sorta di collaborazione con gli autori di Dridex, trojan famigerato per la sua capacità di nascondere le proprie spoglie agli strumenti di analisi in sandbox, IKARUSdilapidated riesce a passare indenne tra le maglie di alcuni motori (non ancora meglio specificati) di analisi comportamentale e codice.
In altre parole, abbiamo un ransomware ninja che usa gli algoritmi RSA-2048 e AES-128 per codificare i nostri file con un nome particolarmente trendy scelto perché i ricercatori che hanno analizzato il malware sono rimasti incuriositi da questa stringa (IKARUSdilapidated) contenuta nei binari della nuova versione di Locky.
Con il già tristemente noto ransomware, questo nuovo malware condivide molte similitudini già a partire dal nome che dà ai file criptati, modificandolo in una sequenza univoca di 16 caratteri composta da lettere e numeri seguiti dall’estensione .locky.
Si spera che questa variante non riesca a replicare le prestazioni del suo progenitore che vanta, secondo una ricerca di Google, ben 7,8 milioni di dollari di profitti dal momento del debutto.
Di sicuro, le richieste economiche sono tutt’altro che abbordabili. Dopo aver criptato i file, infatti, IKARUSdilapidated visualizza un messaggio nel quale richiede un ammontare compreso tra il mezzo il bitcoin intero (la cui quotazione sta oggi sfiorando i 4000 dollari).
Analizzando un campione delle 62.000 email collegate a questa campagna, si è visto come molti indirizzi IP appartengano a provider di connettività Internet, corroborando la tesi che per la diffusione sia stata usata una botnet di ignari utenti infetti diffusi praticamente in tutto il mondo.
Lug 18, 2025 0
Lug 07, 2025 0
Lug 04, 2025 0
Lug 01, 2025 0
Lug 18, 2025 0
Lug 17, 2025 0
Lug 16, 2025 0
Lug 15, 2025 0
Lug 17, 2025 0
Gli attacchi DDoS, compresi quelli ipervolumetrici,...Lug 08, 2025 0
In una recente analisi, Group-IB ha approfondito il ruolo...Lug 03, 2025 0
Recentemente il team Satori Threat Intelligence di HUMAN ha...Giu 09, 2025 0
La cybersecurity sta acquisendo sempre più importanza tra...Mag 30, 2025 0
Nel 2024, le piccole e medie imprese, spesso considerate il...Gen 29, 2025 0
Con l’avvento dell’IA generativa...Ott 09, 2024 0
Negli ultimi anni sempre più aziende stanno sottoscrivendo...Ott 02, 2024 0
Grazie al machine learning, il Global Research and Analysis...Set 30, 2024 0
Il 2024 è l’anno delle nuove normative di sicurezza:...Mag 21, 2024 0
Una delle sfide principali delle aziende distribuite sul...Lug 18, 2025 0
Il CERT-UA, agenzia governativa ucraina di cybersicurezza,...Lug 18, 2025 0
Un gruppo APT legato al governo cinese ha mantenuto...Lug 17, 2025 0
Gli attacchi DDoS, compresi quelli ipervolumetrici,...Lug 16, 2025 0
FlashStart, realtà italiana specializzata in soluzioni per...Lug 15, 2025 0
Nuova minaccia per le GPU: secondo un recente comunicato...