Il ritorno della botnet Necurs: massiccia campagna email di diffusione del ransomware Locky!

Agli inizi di Giugno, la botnet (rete di computer zombie: vedi immagine sotto) Necurs è andata offline: la conseguenza è stato uno stop quasi totale delle campagne di diffusione del trojan bancario Dridex (leggi qui per maggiori informazioni) e del ransomware Locky. 

Con TeslaCrypt fuori dai giochi, il vuoto è stato riempito per qualche tempo dal ransomware CryptXXX, del quale abbiamo seguito alcune delle principali evoluzioni (leggi gli articoli qui): la scomparsa dei “ransomware di punta” ha infatti creato la necessità non solo di programmare nuovi ransomware, ma anche di raffinare e migliorare ransomware già esistenti. 

E’ di questo Lunedì il rilevamento di una massiccia campagna (si parla di milioni di mail) di diffusione del ransomware Locky. L’ analisi degli indirizzi IP utilizzati dimostra come la botnet di provenienza sia di nuovo Necurs, una botnet sicuramente tra le più estese al mondo (alcuni ricercatori ipotizzano che controlli più di 4 milioni e mezzo di macchine).

Campagna di diffusione del ransomware Cryptolocker tramite false mail Tim-Telecom

Un sempre maggior numero di persone oggi sceglie di ricevere informazioni, comunicazioni, fatture ed utenze tramite mail. Proprio in questi giorni moltissimi utenti si sono ritrovati nella cartella di posta, anche inaspettatamente, avvisi e fatture provenienti dal colosso della telefonia Tim- Telecom. 
Come individuato da alcuni ricercatori, queste mail sono in realtà una capillare campagna di diffusione di virus che possono mettere a repentaglio i nostri dati, la nostra privacy, le nostre credenziali di accesso ai vari account online. 

La mail ingannevole
La mail simula una comunicazione formale della Tim. Il mittente è “servizioclienti@telecomitalia.it" , l’oggetto è “Fattura TIM linea fissa”.

[PATCH]: gli aggiornamenti più importanti della settimana

Dato che è sempre più diffusa l'abitudine di diffondere ransomware, malware, trojan di ogni tipo non più tanto con campagne di maili phishing, ma sfruttando vulnerabilità dei Sistemi Operativi e dei software in uso nelle macchine pensiamo sia importante segnalare questi aggiornamenti.


1. Adobe Flash Player
2. Cisco Router
3. Chrome

CryptXXX cambia ancora: non cripta più in .crypz, ma con una serie casuale di 5 caratteri esadecimali

E’ stata rilasciata una nuove versione di CryptXXX (anche conosciuto come UltraCrypter… leggi qui l’approfondimento): c’è  nei fatti una sola modifica saliente, ovvero che questa versione del ransomware non cripta più con estensione .crypz ma con una serie casuale di 5 caratteri esadecimali. 

Per fare un esempio nel computer della vittima A i file potrebbero venire criptati in .AC98U, mentre nel computer della vittima B l’estensione potrebbe essere .D78AU

Ransomware Overview : manuale di difesa

E’ ormai diventato un vero e proprio punto di riferimento , per le vittime dei ransomware che desiderano apprendere come identificarli, rimuoverli e quando possibile recuperare i propri documenti, ma anche per tutti coloro che desiderano restare aggiornati e mantenere alto il livello di guardia.
Stiamo parlando del “Ransomware Overview”, progetto realizzato da diversi esperti e ricercatori di virus che hanno unito le forze nel tentativo di arginare l’oramai sempre più estesa minaccia.

Ransomware Alert! RAA: la nuova insidia in Javascript

Nuovo arrivo nella famiglia dei ransomware: RAA è programmato interamente in JavaScript. 
Già in passato avevamo avuto un caso simile, con la diffusione di Ransom32, malware creato integralmente in NodeJS, piattaforma  per il motore Javascript V8, tuttavia RAA è diverso, perché non è distribuito tramite un eseguibile, ma è piuttosto un comune file JS.
Da impostazioni standard, l’implementazione di JavaScript non include nessuna funzione di crittografia avanzata. Per aggirare questo problema, i programmatori del ransomware hanno utilizzato CryptoJS, libreria pubblica di Google Code Project.

IRONGATE, un malware per il sabotaggio delle aziende?

Alcuni ricercatori di FireEye hanno scoperto una nuova famiglia di malware, ribattezzata Irongate che è progettata per colpire sistemi di controllo industriali (ICS) e i sistemi di controllo di supervisione e acquisizione dati (SCADA).

CHE COSA FA?

Questo malware simula il comportamento del ben più noto Stuxnet [1] utilizzando tecniche del tipo MitM (Man in the Middle[2]) per inserirsi tra il PLC (Programmable Logic Controller [3]) e il software legittimo che monitora i processi. Per fare ciò, come Stuxnet, sostituisce una DLL valida con una copia dannosa, capace potenzialmente di consentire al malware di colpire una precisa configurazione del sistema di controllo.  Una volta inseritosi nella comunicazione, Irongate registra circa 5 secondi di traffico normale al fine di individuare il livello difensivo e inviando al PLC dati alterati.

Ransomware alert! Campagna di diffusione di Zcrypt

E’ stato individuato negli ultimi giorni di Maggio, un nuovo ransomware chiamato Zcrypt, in diffusione anche  in Europa.

Come si diffonde?
Si diffonde tramite:

• campagne di spam
• macro
• falsi installer di Flash Player
• tramite dispositivi mobili

Ha una peculiarità: si comporta come un worm, quindi è capace di replicarsi senza la necessità di legarsi ad un eseguibile.  Una volta installato sulla macchina, crea il file “autorun.inf” in tutti i dischi removibili, trasformando questi dispositivi in ulteriori vettori d’infezione. 
 

Technical e Sales Webinar Xopero&QNAP

Per i nostri rivenditori abbiamo  deciso di sfruttare lo strumento del webinar  per approfondire sia gli aspetti tecnici che quelli commerciali di questa Appliance.

                                            Fai login sul portale s-mart.biz e iscriviti!
                                         Per informazioni scrivici a richieste@s-mart.biz

UltraCrypter: il ransomware CryptXXX si rifà il look ( e si potenzia)

E’ stata rilasciata una nuova versione del ransomware CryptXXX , riconoscibile dalle significative modifiche grafiche nei messaggi di riscatto nel sito di pagamento su TOR: è stata ribattezzata UltraCrypter.  In precedenza CryptXXX, come molti altri ransomware, aveva copiato il layout e il design del CryptoWall. Con questo recente aggiornamento, i programmatori hanno creato un proprio template e cambiato il nome del loro decriptatore in UltraDeCrypter.

Che cosa fa?
Crypta i file e ne modifica l’estenzione in .crypt  o in .cryp1
Il ransomware non crea più i 3 file “de_crypt_readme” in .txt, .bmp, .html, ma  crea una nota di riscatto rinominata secondo l’id unico che viene assegnato alla vittima.
Per approfondire leggi qui