Aggiornamenti recenti Marzo 28th, 2024 9:00 AM
Ago 17, 2017 Giancarlo Calzetta Attacchi, In evidenza, Malware, Minacce, Minacce, News, Ransomware, RSS 0
All’inizio di agosto è partita una nuova campagna di ransomware che ha visto protagonista una variante del temuto ransomware Locky, nota come IKARUSdilapidated, condotta con il metodo che è ormai un classico.
Secondo quanto riportato da Tom Spring su uno dei blog di Kaspersky Lab, uno studio effettuato dai ricercatori di Comodo Threat Intelligence Lab ha rivelato che dal 9 di agosto, fino al 12 dello stesso mese, una botnet si è occupata di inviare a oltre 60.000 indirizzi una mail con un testo molto stringato e un allegato.
Quest’ultimo ha un’estensione variabile (può essere un .doc, un .vbs, un .tiff o altro) e un nome abbastanza criptico che riporta una E seguita dalla data in notazione inversa anglosassone e un numero a tre cifre (che cambia anche lui da una mail all’altra) tra parentesi.
Se il destinatario lancia il file, si troverà davanti a un file di word pieno di caratteri incomprensibili e un avviso che sprona l’utente ad attivare le macro se la decodifica del file dovesse essere errata.
Chi cade nella trappola, forse evidente per un esperto ma sicuramente ben congegnata per colpire utenti medi, permette a uno script di scaricare il ransomware vero e proprio, che ha la particolarità di essere particolarmente sfuggente ed efficace. A quanto pare, infatti, il file del ransomware viene classificato come file sconosciuto dalla maggior parte degli antivirus e se il programma di protezione non è impostato per bloccare tutti i file non classificati, viene scaricato senza problemi.
Fin qui, non c’è niente di nuovo, ma la vera particolarità consiste nel fatto che grazie a una sorta di collaborazione con gli autori di Dridex, trojan famigerato per la sua capacità di nascondere le proprie spoglie agli strumenti di analisi in sandbox, IKARUSdilapidated riesce a passare indenne tra le maglie di alcuni motori (non ancora meglio specificati) di analisi comportamentale e codice.
In altre parole, abbiamo un ransomware ninja che usa gli algoritmi RSA-2048 e AES-128 per codificare i nostri file con un nome particolarmente trendy scelto perché i ricercatori che hanno analizzato il malware sono rimasti incuriositi da questa stringa (IKARUSdilapidated) contenuta nei binari della nuova versione di Locky.
Con il già tristemente noto ransomware, questo nuovo malware condivide molte similitudini già a partire dal nome che dà ai file criptati, modificandolo in una sequenza univoca di 16 caratteri composta da lettere e numeri seguiti dall’estensione .locky.
Si spera che questa variante non riesca a replicare le prestazioni del suo progenitore che vanta, secondo una ricerca di Google, ben 7,8 milioni di dollari di profitti dal momento del debutto.
Di sicuro, le richieste economiche sono tutt’altro che abbordabili. Dopo aver criptato i file, infatti, IKARUSdilapidated visualizza un messaggio nel quale richiede un ammontare compreso tra il mezzo il bitcoin intero (la cui quotazione sta oggi sfiorando i 4000 dollari).
Analizzando un campione delle 62.000 email collegate a questa campagna, si è visto come molti indirizzi IP appartengano a provider di connettività Internet, corroborando la tesi che per la diffusione sia stata usata una botnet di ignari utenti infetti diffusi praticamente in tutto il mondo.
Mar 28, 2024 0
Mar 25, 2024 0
Mar 21, 2024 0
Mar 20, 2024 0
Mar 27, 2024 0
Mar 26, 2024 0
Mar 25, 2024 0
Mar 22, 2024 0
Mar 28, 2024 0
Stando al Rapporto Annuale sulle Minacce Informatiche di...Mar 27, 2024 0
La sanità viene presa di mira dagli infostealer: a dirlo...Mar 22, 2024 0
Nel 2024 i deepfake saranno una delle applicazioni di...Mar 21, 2024 0
Acronis annuncia l’ottenimento della qualificazione...Mar 19, 2024 0
Il numero di computer di Operation Technology (OT) è in...Mag 04, 2018 0
E se vi dicessimo che la saga di Star Wars ...Nov 14, 2016 2
Abbiamo rubato al blog di Kaspersky un vecchio pezzo di...Nov 08, 2016 2
Il numero uno degli scacchi mondiali Magnus Carlsen ha...Ott 28, 2016 0
Il pirata informatico che ha creato il ransomware cerca...Ott 11, 2016 0
Dopo la raffica di figuracce, l’azienda sospende per...Mar 28, 2024 0
Stando al Rapporto Annuale sulle Minacce Informatiche di...Mar 26, 2024 0
Un gruppo di ricercatori ha individuato un grosso problema...Mar 25, 2024 0
La scorsa settimana ha rappresentato una sfida...Mar 25, 2024 0
Il 22 marzo si è concluso il Pwn2Own, l’hackathon...Mar 22, 2024 0
Nel 2024 i deepfake saranno una delle applicazioni di...