Aggiornamenti recenti Novembre 21st, 2024 8:55 PM
Set 05, 2017 Marco Schiaffino In evidenza, Malware, Minacce, News, Ransomware, RSS 0
Finite le vacanze si torna al lavoro. E quando gli impiegati di tutto il mondo si troveranno davanti allo schermo del computer per smaltire le email accumulate, è probabile che troveranno nelle loro caselle di posta un bel campionario di ransomware.
Come riporta Bleeping Computer nel suo consueto report settimanale, negli ultimi giorni di agosto i pirati informatici hanno cominciato a scaldare i motori in vista della ripresa dell’attività. Ecco che cosa ci dobbiamo aspettare nelle prossime settimane.
Locky
Il più pericoloso del gruppo è una vecchia conoscenza degli esperti di sicurezza. Stiamo parlando di Locky, uno dei primi crypto-ransomware comparsi sulla scena. La nuova versione viene diffusa tramite email, utilizzando uno stratagemma che potrebbe creare qualche grattacapo ai software di sicurezza, soprattutto nelle aziende.
Il codice di Locky viene infatti scaricato attraverso un JavaScript attivato dai comandi Macro inseriti in un documento di Word. Lo schema è classico, ma con una variante: le Macro si attivano infatti alla chiusura del documento e non alla sua apertura.
Un trucchetto che potrebbe mettere in difficoltà i sistemi di rilevamento che sfruttano le sandbox centralizzate. Di solito, infatti, i file vengono analizzati con questo metodo vengono fatti “girare” in un ambiente chiuso concedendo tutte le autorizzazioni (Macro comprese) per esaminarne il comportamento.
Ma se le Macro si avviano al momento della chiusura del documento, ci sono buone possibilità che il comportamento dannoso del file non venga rilevato.
EkoParty
Individuato dal MalwareHunter Team, potrebbe essere anche solo un ransomware sviluppato a scopo “didattico”. Sarebbe basato su HiddenTear e blocca i documenti crittografandoli e sostituendo l’estensione con .locked.
RansomPrank
Nessuna certezza circa la pericolosità di questo software. La verisone individuata da Lawrence Abrams si limita a mostrare una schermata in cui viene chiesto il riscatto, ma non modifica in alcun modo i file sul computer. Potrebbe trattarsi di un ransomware in fase di sviluppo (ma cominciare lo sviluppo dalla visualizzazione della richiesta di riscatto è un po’ come costruire una casa cominciando dal tetto) o di un semplice scherzo.
Wooly
La nuova versione del ransomware Wooly non sembra essere molto meglio della precedente. Avvia la crittografia dei file (sostituendo l’estensione originale con .wooly) ma va in crash dopo poco. AL massimo può rappresentare una scocciatura.
Nuclear BTCWare
Funzionante e decisamente pericolosa, la nuova versione di BTCWare sembra venga diffusa colpendo i computer che hanno servizi di Remote Desktop attivi (e quindi parliamo ancora una volta di aziende) protetti da password deboli. La soluzione? Usare una password decente.
Strawhat
Altro ransomware in corso di sviluppo, sembra programmato per codificare i file e rinominarli usando delle estensioni casuali, copiando poi sul PC la richiesta di riscatto.
MindSystem
Altro mistero: si tratta di un ransomware che crittografa i file e poi fornisce (senza richiesta di pagamento) la chiave per decrittarli. Il messaggio che compare contiene la frase “For education only!”. Resta da capire se l’obiettivo di questa azione “educativa” sia quello di sensibilizzare gli utenti al problema ransomware o insegnare ai pirati come crearli.
Troll
Chi ha creato questo malware forse non ha capito la logica dietro i ransomware. Troll infatti crittografa con XOR tutti i file sul computer (compresi quelli di sistema) trasformandolo in un ferro da stiro. Da quello che si capisce non visualizza nemmeno una richiesta di riscatto. È comunque possibile che si tratti di un malware ancora in fase di sviluppo.
Bit Paymer
Segnalato in seguito a un attacco che ha preso di mira alcuni ospedali in Scozia (ne abbiamo parlato qui) ora Bit Paymer viene distribuito negli Stati Uniti attraverso email che sembrano provenire dall’ Internal Revenue Service, l’ufficio delle tasse federale.
Akira
Si tratterebbe di un ransomware ancora in fase di sviluppo, che ha una particolarità: crittografa soltanto i file video. Magari il suo autore spera di fare leva sulla paura delle vittime di perdere i filmini delle vacanze.
Blue Eagle
Nuova variante di un ransomware già visto, ma secondo i ricercatori che l’hanno individuata sarebbe (almeno per ora) inoffensiva. Il codice ha qualche problema e non avvia la crittografia dei file.
Haze
Classico specchietto per le allodole. Cerca di imitare la schermata di Petya ma non crittografa i file. Diciamo che non ci perderemo il sonno…
OhNo!
Il malware è in grado di crittografare solo un numero limitato di file e sostituisce la loro estennsione con .OhNo! Per lo meno hanno il senso dell’umorismo.
Arena CryptoMix
Nuova versione per la famiglia di ransomware CryptoMix, che questa volta utilizza l’estensione .arena per rinominare i file crittografati. Secondo i ricercatori, gli autori del malware rilasciano una nuova versione ogni settimana.
Nov 19, 2024 0
Nov 11, 2024 0
Nov 06, 2024 0
Ott 28, 2024 0
Nov 21, 2024 0
Nov 21, 2024 0
Nov 20, 2024 0
Nov 18, 2024 0
Nov 21, 2024 0
Google ha annunciato di aver trovato 26 nuove...Nov 14, 2024 0
L’FBI ha lanciato un allarme: stando a un avviso...Nov 13, 2024 0
I ricercatori di Securonix hanno scoperto CRON#TRAP, una...Nov 12, 2024 0
Le minacce APT sono in aumento e in molti casi stanno...Nov 11, 2024 0
Kaspersky ha collaborato a Synergia II, operazione...Ott 09, 2024 0
Negli ultimi anni sempre più aziende stanno sottoscrivendo...Ott 02, 2024 0
Grazie al machine learning, il Global Research and Analysis...Set 30, 2024 0
Il 2024 è l’anno delle nuove normative di sicurezza:...Mag 21, 2024 0
Una delle sfide principali delle aziende distribuite sul...Mag 08, 2024 0
L’ultimo non è stato un buon anno per Microsoft:...Nov 21, 2024 0
Playlist e podcast sono l’esca ideale per attirare ignari...Nov 21, 2024 0
Google ha annunciato di aver trovato 26 nuove...Nov 20, 2024 0
Una campagna di spionaggio a opera di hacker cinesi ha...Nov 19, 2024 0
I ricercatori di Sekoia hanno individuato una nuova...Nov 18, 2024 0
István Márton, ricercatore di Wordfence, ha individuato...