Aggiornamenti recenti Settembre 10th, 2024 9:57 AM
Set 05, 2017 Marco Schiaffino In evidenza, Malware, Minacce, News, Ransomware, RSS 0
Finite le vacanze si torna al lavoro. E quando gli impiegati di tutto il mondo si troveranno davanti allo schermo del computer per smaltire le email accumulate, è probabile che troveranno nelle loro caselle di posta un bel campionario di ransomware.
Come riporta Bleeping Computer nel suo consueto report settimanale, negli ultimi giorni di agosto i pirati informatici hanno cominciato a scaldare i motori in vista della ripresa dell’attività. Ecco che cosa ci dobbiamo aspettare nelle prossime settimane.
Locky
Il più pericoloso del gruppo è una vecchia conoscenza degli esperti di sicurezza. Stiamo parlando di Locky, uno dei primi crypto-ransomware comparsi sulla scena. La nuova versione viene diffusa tramite email, utilizzando uno stratagemma che potrebbe creare qualche grattacapo ai software di sicurezza, soprattutto nelle aziende.
Il codice di Locky viene infatti scaricato attraverso un JavaScript attivato dai comandi Macro inseriti in un documento di Word. Lo schema è classico, ma con una variante: le Macro si attivano infatti alla chiusura del documento e non alla sua apertura.
Un trucchetto che potrebbe mettere in difficoltà i sistemi di rilevamento che sfruttano le sandbox centralizzate. Di solito, infatti, i file vengono analizzati con questo metodo vengono fatti “girare” in un ambiente chiuso concedendo tutte le autorizzazioni (Macro comprese) per esaminarne il comportamento.
Ma se le Macro si avviano al momento della chiusura del documento, ci sono buone possibilità che il comportamento dannoso del file non venga rilevato.
EkoParty
Individuato dal MalwareHunter Team, potrebbe essere anche solo un ransomware sviluppato a scopo “didattico”. Sarebbe basato su HiddenTear e blocca i documenti crittografandoli e sostituendo l’estensione con .locked.
RansomPrank
Nessuna certezza circa la pericolosità di questo software. La verisone individuata da Lawrence Abrams si limita a mostrare una schermata in cui viene chiesto il riscatto, ma non modifica in alcun modo i file sul computer. Potrebbe trattarsi di un ransomware in fase di sviluppo (ma cominciare lo sviluppo dalla visualizzazione della richiesta di riscatto è un po’ come costruire una casa cominciando dal tetto) o di un semplice scherzo.
Wooly
La nuova versione del ransomware Wooly non sembra essere molto meglio della precedente. Avvia la crittografia dei file (sostituendo l’estensione originale con .wooly) ma va in crash dopo poco. AL massimo può rappresentare una scocciatura.
Nuclear BTCWare
Funzionante e decisamente pericolosa, la nuova versione di BTCWare sembra venga diffusa colpendo i computer che hanno servizi di Remote Desktop attivi (e quindi parliamo ancora una volta di aziende) protetti da password deboli. La soluzione? Usare una password decente.
Strawhat
Altro ransomware in corso di sviluppo, sembra programmato per codificare i file e rinominarli usando delle estensioni casuali, copiando poi sul PC la richiesta di riscatto.
MindSystem
Altro mistero: si tratta di un ransomware che crittografa i file e poi fornisce (senza richiesta di pagamento) la chiave per decrittarli. Il messaggio che compare contiene la frase “For education only!”. Resta da capire se l’obiettivo di questa azione “educativa” sia quello di sensibilizzare gli utenti al problema ransomware o insegnare ai pirati come crearli.
Troll
Chi ha creato questo malware forse non ha capito la logica dietro i ransomware. Troll infatti crittografa con XOR tutti i file sul computer (compresi quelli di sistema) trasformandolo in un ferro da stiro. Da quello che si capisce non visualizza nemmeno una richiesta di riscatto. È comunque possibile che si tratti di un malware ancora in fase di sviluppo.
Bit Paymer
Segnalato in seguito a un attacco che ha preso di mira alcuni ospedali in Scozia (ne abbiamo parlato qui) ora Bit Paymer viene distribuito negli Stati Uniti attraverso email che sembrano provenire dall’ Internal Revenue Service, l’ufficio delle tasse federale.
Akira
Si tratterebbe di un ransomware ancora in fase di sviluppo, che ha una particolarità: crittografa soltanto i file video. Magari il suo autore spera di fare leva sulla paura delle vittime di perdere i filmini delle vacanze.
Blue Eagle
Nuova variante di un ransomware già visto, ma secondo i ricercatori che l’hanno individuata sarebbe (almeno per ora) inoffensiva. Il codice ha qualche problema e non avvia la crittografia dei file.
Haze
Classico specchietto per le allodole. Cerca di imitare la schermata di Petya ma non crittografa i file. Diciamo che non ci perderemo il sonno…
OhNo!
Il malware è in grado di crittografare solo un numero limitato di file e sostituisce la loro estennsione con .OhNo! Per lo meno hanno il senso dell’umorismo.
Arena CryptoMix
Nuova versione per la famiglia di ransomware CryptoMix, che questa volta utilizza l’estensione .arena per rinominare i file crittografati. Secondo i ricercatori, gli autori del malware rilasciano una nuova versione ogni settimana.
Ago 27, 2024 0
Ago 08, 2024 0
Ago 01, 2024 0
Lug 23, 2024 0
Set 10, 2024 0
Set 09, 2024 0
Set 09, 2024 0
Set 06, 2024 0
Set 06, 2024 0
Il quishing non è una minaccia nuova, ma negli ultimi...Set 05, 2024 0
Cresce il numero di minacce informatiche contro il settore...Set 05, 2024 0
Gli attacchi di furto di account (account takeover) sono...Set 03, 2024 0
Le identità digitali si moltiplicano e con esse anche le...Set 02, 2024 0
Il numero di attacchi alle applicazioni e alle API è in...Mag 21, 2024 0
Una delle sfide principali delle aziende distribuite sul...Mag 08, 2024 0
L’ultimo non è stato un buon anno per Microsoft:...Mag 04, 2018 0
E se vi dicessimo che la saga di Star Wars ...Nov 14, 2016 2
Abbiamo rubato al blog di Kaspersky un vecchio pezzo di...Nov 08, 2016 2
Il numero uno degli scacchi mondiali Magnus Carlsen ha...Set 10, 2024 0
I ricercatori di ESET hanno individuato una campagna ai...Set 09, 2024 0
I ricercatori di Pathstack hanno individuato una nuova...Set 09, 2024 0
Nell’ultima settimana, il CERT-AGID (Computer...Set 06, 2024 0
Il quishing non è una minaccia nuova, ma negli ultimi...Set 05, 2024 0
Cresce il numero di minacce informatiche contro il settore...