Agli inizi di Giugno, la botnet (rete di computer zombie: vedi immagine sotto) Necurs è andata offline: la conseguenza è stato uno stop quasi totale delle campagne di diffusione del trojan bancario Dridex (leggi qui per maggiori informazioni) e del ransomware Locky.
Con TeslaCrypt fuori dai giochi, il vuoto è stato riempito per qualche tempo
dal ransomware CryptXXX, del quale abbiamo seguito
alcune delle principali evoluzioni (leggi gli articoli qui): la scomparsa dei “ransomware di punta” ha
infatti creato la necessità non solo di programmare nuovi ransomware, ma anche
di raffinare e migliorare ransomware già esistenti.
E’ di questo Lunedì il rilevamento di una massiccia campagna (si parla di
milioni di mail) di diffusione del ransomware Locky. L’ analisi degli indirizzi
IP utilizzati dimostra come la botnet di provenienza sia di nuovo Necurs, una botnet sicuramente tra le più estese al mondo (alcuni ricercatori ipotizzano che controlli più di 4 milioni e mezzo di macchine).
Come si diffonde?
Le Email distribuite in questa nuova campagna hanno come oggetto “Re:” e come allegato un file con estensione “.zip” che può avere i seguenti nomi:
1. “services_[nome]_[6 numeri casuali].zip”
2. “[nome]_addition_[6 numeri casuali].zip”
3. “[nome]_invoice_[6 numeri casuali].zip”
Tutti e tre contengono codice
Javascript offuscato.
Il doppio clic sul file JavaScript attiverà il download del file eseguibile di
Locky, che verrà salvato nella cartella %Temp% e si autoeseguirà.
Questa nuova variante contiene anche un codice anti macchine-virtuali per
rendere ancora più difficile, per i ricercatori, analizzarlo da una macchina
virtuale (una macchina virtuale altro non è che un software che crea un
ambiente virtuale che simula il funzionamento di un normale
computer. E’ ormai pratica diffusa tra i ricercatori di sicurezza quella di
usare queste macchine virtuali come trappole entro cui attrarre virus di ogni
genere per poterli studiare senza incorrere in danni).
Tolto questo, il ransomware non sembra
presentare ulteriori modifiche.
Per rinfrescare la memoria:
Una volta installato, Locky assegna un codice di 16 cifre prima di iniziare la cifratura di tutte le unità di disco locale e le condivisioni di rete, utilizzando l’algoritmo AES per cifrare ogni file con l’estensione “.locky”. Durante il processo di criptazione Locky, inoltre, cancella tutte le Copie Shadow dei file, necessari per creare le copie di backup dei dati, al fine di impedire alle vittime di ripristinare i propri file.
Per maggiori dettagli si rimanda agli articoli precedentemente scritti sull’argomento:
LEGGI: http://bit.ly/29c7dv2
Nessun commento:
Posta un commento