Ultime Notizie

sabato 9 settembre 2017

In arrivo una pioggia di ransomware vecchi e nuovi


Finite le vacanze si torna al lavoro. E quando gli impiegati di tutto il mondo si troveranno davanti allo schermo del computer per smaltire le email accumulate, è probabile che troveranno nelle loro caselle di posta un bel campionario di ransomware.

Come riporta Bleeping Computer nel suo consueto report settimanale, negli ultimi giorni di agosto i pirati informatici hanno cominciato a scaldare i motori in vista della ripresa dell’attività. Ecco che cosa ci dobbiamo aspettare nelle prossime settimane.

Locky

Il più pericoloso del gruppo è una vecchia conoscenza degli esperti di sicurezza. Stiamo parlando di Locky, uno dei primi crypto-ransomware comparsi sulla scena. La nuova versione viene diffusa tramite email, utilizzando uno stratagemma che potrebbe creare qualche grattacapo ai software di sicurezza, soprattutto nelle aziende.

Il codice di Locky viene infatti scaricato attraverso un JavaScript attivato dai comandi Macro inseriti in un documento di Word. Lo schema è classico, ma con una variante: le Macro si attivano infatti alla chiusura del documento e non alla sua apertura.

Un trucchetto che potrebbe mettere in difficoltà i sistemi di rilevamento che sfruttano le sandbox centralizzate. Di solito, infatti, i file vengono analizzati con questo metodo vengono fatti “girare” in un ambiente chiuso concedendo tutte le autorizzazioni (Macro comprese) per esaminarne il comportamento.

Ma se le Macro si avviano al momento della chiusura del documento, ci sono buone possibilità che il comportamento dannoso del file non venga rilevato.

EkoParty

Individuato dal MalwareHunter Team, potrebbe essere anche solo un ransomware sviluppato a scopo “didattico”. Sarebbe basato su HiddenTear e blocca i documenti crittografandoli e sostituendo l’estensione con .locked.

RansomPrank

Nessuna certezza circa la pericolosità di questo software. La verisone individuata da Lawrence Abrams si limita a mostrare una schermata in cui viene chiesto il riscatto, ma non modifica in alcun modo i file sul computer. Potrebbe trattarsi di un ransomware in fase di sviluppo (ma cominciare lo sviluppo dalla visualizzazione della richiesta di riscatto è un po’ come costruire una casa cominciando dal tetto) o di un semplice scherzo.

Wooly

La nuova versione del ransomware Wooly non sembra essere molto meglio della precedente. Avvia la crittografia dei file (sostituendo l’estensione originale con .wooly) ma va in crash dopo poco. AL massimo può rappresentare una scocciatura.

Nuclear BTCWare

Funzionante e decisamente pericolosa, la nuova versione di BTCWare sembra venga diffusa colpendo i computer che hanno servizi di Remote Desktop attivi (e quindi parliamo ancora una volta di aziende) protetti da password deboli. La soluzione? Usare una password decente.

Strawhat

Altro ransomware in corso di sviluppo, sembra programmato per codificare i file e rinominarli usando delle estensioni casuali, copiando poi sul PC la richiesta di riscatto.

MindSystem



Altro mistero: si tratta di un ransomware che crittografa i file e poi fornisce (senza richiesta di pagamento) la chiave per decrittarli. Il messaggio che compare contiene la frase “For education only!”. Resta da capire se l’obiettivo di questa azione “educativa” sia quello di sensibilizzare gli utenti al problema ransomware o insegnare ai pirati come crearli.

Troll

Chi ha creato questo malware forse non ha capito la logica dietro i ransomware. Troll infatti crittografa con XOR tutti i file sul computer (compresi quelli di sistema) trasformandolo in un ferro da stiro. Da quello che si capisce non visualizza nemmeno una richiesta di riscatto. È comunque possibile che si tratti di un malware ancora in fase di sviluppo.

Bit Paymer

Segnalato in seguito a un attacco che ha preso di mira alcuni ospedali in Scozia ora Bit Paymer viene distribuito negli Stati Uniti attraverso email che sembrano provenire dall’ Internal Revenue Service, l’ufficio delle tasse federale.

Akira

Si tratterebbe di un ransomware ancora in fase di sviluppo, che ha una particolarità: crittografa soltanto i file video. Magari il suo autore spera di fare leva sulla paura delle vittime di perdere i filmini delle vacanze.

Blue Eagle

Nuova variante di un ransomware già visto, ma secondo i ricercatori che l’hanno individuata sarebbe (almeno per ora) inoffensiva. Il codice ha qualche problema e non avvia la crittografia dei file.

Haze

Classico specchietto per le allodole. Cerca di imitare la schermata di Petya ma non crittografa i file. Diciamo che non ci perderemo il sonno…



OhNo!

Il malware è in grado di crittografare solo un numero limitato di file e sostituisce la loro estennsione con .OhNo! Per lo meno hanno il senso dell’umorismo.

Arena CryptoMix

Nuova versione per la famiglia di ransomware CryptoMix, che questa volta utilizza l’estensione .arena per rinominare i file crittografati. Secondo i ricercatori, gli autori del malware rilasciano una nuova versione ogni settimana.


Nessun commento:

Posta un commento