Come riporta Bleeping Computer nel suo consueto report settimanale, negli ultimi giorni di agosto i pirati informatici hanno cominciato a scaldare i motori in vista della ripresa dell’attività. Ecco che cosa ci dobbiamo aspettare nelle prossime settimane.
Locky
Il più pericoloso del gruppo è una vecchia conoscenza degli esperti di sicurezza. Stiamo parlando di Locky, uno dei primi crypto-ransomware comparsi sulla scena. La nuova versione viene diffusa tramite email, utilizzando uno stratagemma che potrebbe creare qualche grattacapo ai software di sicurezza, soprattutto nelle aziende.
Il codice di Locky viene infatti scaricato attraverso un JavaScript attivato dai comandi Macro inseriti in un documento di Word. Lo schema è classico, ma con una variante: le Macro si attivano infatti alla chiusura del documento e non alla sua apertura.
Un trucchetto che potrebbe mettere in difficoltà i sistemi di rilevamento che sfruttano le sandbox centralizzate. Di solito, infatti, i file vengono analizzati con questo metodo vengono fatti “girare” in un ambiente chiuso concedendo tutte le autorizzazioni (Macro comprese) per esaminarne il comportamento.
Ma se le Macro si avviano al momento della chiusura del documento, ci sono buone possibilità che il comportamento dannoso del file non venga rilevato.
EkoParty
Individuato dal MalwareHunter Team, potrebbe essere anche solo un ransomware sviluppato a scopo “didattico”. Sarebbe basato su HiddenTear e blocca i documenti crittografandoli e sostituendo l’estensione con .locked.
RansomPrank
Nessuna certezza circa la pericolosità di questo software. La verisone individuata da Lawrence Abrams si limita a mostrare una schermata in cui viene chiesto il riscatto, ma non modifica in alcun modo i file sul computer. Potrebbe trattarsi di un ransomware in fase di sviluppo (ma cominciare lo sviluppo dalla visualizzazione della richiesta di riscatto è un po’ come costruire una casa cominciando dal tetto) o di un semplice scherzo.
Wooly
La nuova versione del ransomware Wooly non sembra essere molto meglio della precedente. Avvia la crittografia dei file (sostituendo l’estensione originale con .wooly) ma va in crash dopo poco. AL massimo può rappresentare una scocciatura.
Nuclear BTCWare
Funzionante e decisamente pericolosa, la nuova versione di BTCWare sembra venga diffusa colpendo i computer che hanno servizi di Remote Desktop attivi (e quindi parliamo ancora una volta di aziende) protetti da password deboli. La soluzione? Usare una password decente.
Strawhat
Altro ransomware in corso di sviluppo, sembra programmato per codificare i file e rinominarli usando delle estensioni casuali, copiando poi sul PC la richiesta di riscatto.
MindSystem
Altro mistero: si tratta di un ransomware che crittografa i file e poi fornisce (senza richiesta di pagamento) la chiave per decrittarli. Il messaggio che compare contiene la frase “For education only!”. Resta da capire se l’obiettivo di questa azione “educativa” sia quello di sensibilizzare gli utenti al problema ransomware o insegnare ai pirati come crearli.
Troll
Chi ha creato questo malware forse non ha capito la logica dietro i ransomware. Troll infatti crittografa con XOR tutti i file sul computer (compresi quelli di sistema) trasformandolo in un ferro da stiro. Da quello che si capisce non visualizza nemmeno una richiesta di riscatto. È comunque possibile che si tratti di un malware ancora in fase di sviluppo.
Bit Paymer
Segnalato in seguito a un attacco che ha preso di mira alcuni ospedali in Scozia ora Bit Paymer viene distribuito negli Stati Uniti attraverso email che sembrano provenire dall’ Internal Revenue Service, l’ufficio delle tasse federale.
Akira
Si tratterebbe di un ransomware ancora in fase di sviluppo, che ha una particolarità: crittografa soltanto i file video. Magari il suo autore spera di fare leva sulla paura delle vittime di perdere i filmini delle vacanze.
Blue Eagle
Nuova variante di un ransomware già visto, ma secondo i ricercatori che l’hanno individuata sarebbe (almeno per ora) inoffensiva. Il codice ha qualche problema e non avvia la crittografia dei file.
Haze
Classico specchietto per le allodole. Cerca di imitare la schermata di Petya ma non crittografa i file. Diciamo che non ci perderemo il sonno…
OhNo!
Il malware è in grado di crittografare solo un numero limitato di file e sostituisce la loro estennsione con .OhNo! Per lo meno hanno il senso dell’umorismo.
Arena CryptoMix
Nuova versione per la famiglia di ransomware CryptoMix, che questa volta utilizza l’estensione .arena per rinominare i file crittografati. Secondo i ricercatori, gli autori del malware rilasciano una nuova versione ogni settimana.
Locky
Il più pericoloso del gruppo è una vecchia conoscenza degli esperti di sicurezza. Stiamo parlando di Locky, uno dei primi crypto-ransomware comparsi sulla scena. La nuova versione viene diffusa tramite email, utilizzando uno stratagemma che potrebbe creare qualche grattacapo ai software di sicurezza, soprattutto nelle aziende.
Il codice di Locky viene infatti scaricato attraverso un JavaScript attivato dai comandi Macro inseriti in un documento di Word. Lo schema è classico, ma con una variante: le Macro si attivano infatti alla chiusura del documento e non alla sua apertura.
Un trucchetto che potrebbe mettere in difficoltà i sistemi di rilevamento che sfruttano le sandbox centralizzate. Di solito, infatti, i file vengono analizzati con questo metodo vengono fatti “girare” in un ambiente chiuso concedendo tutte le autorizzazioni (Macro comprese) per esaminarne il comportamento.
Ma se le Macro si avviano al momento della chiusura del documento, ci sono buone possibilità che il comportamento dannoso del file non venga rilevato.
EkoParty
Individuato dal MalwareHunter Team, potrebbe essere anche solo un ransomware sviluppato a scopo “didattico”. Sarebbe basato su HiddenTear e blocca i documenti crittografandoli e sostituendo l’estensione con .locked.
RansomPrank
Nessuna certezza circa la pericolosità di questo software. La verisone individuata da Lawrence Abrams si limita a mostrare una schermata in cui viene chiesto il riscatto, ma non modifica in alcun modo i file sul computer. Potrebbe trattarsi di un ransomware in fase di sviluppo (ma cominciare lo sviluppo dalla visualizzazione della richiesta di riscatto è un po’ come costruire una casa cominciando dal tetto) o di un semplice scherzo.
Wooly
La nuova versione del ransomware Wooly non sembra essere molto meglio della precedente. Avvia la crittografia dei file (sostituendo l’estensione originale con .wooly) ma va in crash dopo poco. AL massimo può rappresentare una scocciatura.
Nuclear BTCWare
Funzionante e decisamente pericolosa, la nuova versione di BTCWare sembra venga diffusa colpendo i computer che hanno servizi di Remote Desktop attivi (e quindi parliamo ancora una volta di aziende) protetti da password deboli. La soluzione? Usare una password decente.
Strawhat
Altro ransomware in corso di sviluppo, sembra programmato per codificare i file e rinominarli usando delle estensioni casuali, copiando poi sul PC la richiesta di riscatto.
MindSystem
Altro mistero: si tratta di un ransomware che crittografa i file e poi fornisce (senza richiesta di pagamento) la chiave per decrittarli. Il messaggio che compare contiene la frase “For education only!”. Resta da capire se l’obiettivo di questa azione “educativa” sia quello di sensibilizzare gli utenti al problema ransomware o insegnare ai pirati come crearli.
Troll
Chi ha creato questo malware forse non ha capito la logica dietro i ransomware. Troll infatti crittografa con XOR tutti i file sul computer (compresi quelli di sistema) trasformandolo in un ferro da stiro. Da quello che si capisce non visualizza nemmeno una richiesta di riscatto. È comunque possibile che si tratti di un malware ancora in fase di sviluppo.
Bit Paymer
Segnalato in seguito a un attacco che ha preso di mira alcuni ospedali in Scozia ora Bit Paymer viene distribuito negli Stati Uniti attraverso email che sembrano provenire dall’ Internal Revenue Service, l’ufficio delle tasse federale.
Akira
Si tratterebbe di un ransomware ancora in fase di sviluppo, che ha una particolarità: crittografa soltanto i file video. Magari il suo autore spera di fare leva sulla paura delle vittime di perdere i filmini delle vacanze.
Blue Eagle
Nuova variante di un ransomware già visto, ma secondo i ricercatori che l’hanno individuata sarebbe (almeno per ora) inoffensiva. Il codice ha qualche problema e non avvia la crittografia dei file.
Haze
Classico specchietto per le allodole. Cerca di imitare la schermata di Petya ma non crittografa i file. Diciamo che non ci perderemo il sonno…
OhNo!
Il malware è in grado di crittografare solo un numero limitato di file e sostituisce la loro estennsione con .OhNo! Per lo meno hanno il senso dell’umorismo.
Arena CryptoMix
Nuova versione per la famiglia di ransomware CryptoMix, che questa volta utilizza l’estensione .arena per rinominare i file crittografati. Secondo i ricercatori, gli autori del malware rilasciano una nuova versione ogni settimana.
Nessun commento:
Posta un commento