Ransomware news: Locky si evolve ancora ,CrypMIC imita CryptXXX

E’ ormai impossibile (e forse poco interessante) seguire tutte le evoluzioni o le nuove diffusioni dei ransomware. Questa settimana ha presentato notevoli e numerose novità, ma ne abbiamo selezionate due:
Locky, perché è molto diffuso (anche in Italia) e tra i “ransomware di punta” per i cyber-crimnali, come ci dimostrano i continui miglioramenti.

CrypMIC, nuovo ransomware che vuole sfruttare il successo del ransomware che ha preso il posto del famigerato TeslaCrypt sul podio, ovvero CryptXXX

Nuova versione del ransomware Locky

Di Locky abbiamo abbondantemente parlato qui e qui, data anche la campagna didiffusione mirata sull’Italia di qualche settimana fa.
Dal 20 Luglio vari ricercatori di sicurezza hanno osservato nuove campagne di diffusione email del virus, che ha subito una grande evoluzione: il codice eseguibile del malware è inserito direttamente nell’allegato Javascript. Il codice JS non ha più quindi la mera funzione di downloader, ma estrae e mette in memoria il codice binario del malware sul PC della vittime senza nessuna necessità di scaricarlo da remoto.

Aggiornamenti: nuove versioni dei ransomware Petya&CryptXXX

Ecco un doppio aggiornamento su due nostre vecchie conoscenze: i ransomware Petya e cryptXXX. Di entrambi, negli ultimi giorni, sono state rilasciate versioni ulteriormente aggiornate, volte a rendere più solide le cifrature e a ridurre quindi le possibilità di rimettere in chiaro i file senza pagare il riscatto. 

AVG rilascia il decryptor per Bart!

N.d.R= il tool in oggetto non presenta un tasso di risoluzione del 100%. Non garantiamo quindi la possibilità di soluzione in tutti i casi. 

E’ di questi ultimi giorni la notizia che AVG ha rilasciato un decryptor per il ransomware Bart, che memorizza i file  zip protetti da password. Proprio come il personaggio frutto della matita di Matt Groening anche il Ransomware omonimo ha portato scompiglio tra miglia di utenti.

Campagna di diffusione via email del malware Andromeda contro le aziende italiane

I ricercatori di Palo Alto Network hanno individuato due distinte, ma pesanti e capillari, campagne di spam il cui obiettivo principale sono utenti residenti in Italia. Sono stati analizzati ben 210 mila email relative a queste due campagne e la percentuale di indirizzi mail italiani risultanti tra i destinatari è schiacciante: ben il 97%. 
La maggior parte di questi indirizzi appartiene ad aziende assicurative,  del settore high tech, universitarie, di servizi legali e del settore manifatturiero, come si può vedere nell'immagine sotto:

Ransomware as a service: come si sta organizzando il mercato dei ransomware

Qualche tempo fa abbiamo parlato dei ranomware Misha e Petya, due ransomware “fratelli” diffusi dallo stesso gruppo di cyber-criminali. Nel dettaglio facemmo notare che i due ransomware erano acquistabili online, nel deep web, nella piattaforma denominata Janus Cybercrime. La piattaforma (vedere l’immagine sotto) prevedeva anche una vera e propria forma di marketing dei prodotti Misha e Petya, con elenco dei vantaggi, prezzario e percentuali di guadagno.




La strategia si consolida e ripete
E’ in circolazione un nuovo ransomware, denominato Stampado. Critpa i file con estensione .locked e non ha nessuna grossa differenza di funzionamento rispetto al Cryptolocker. Non presenta cioè, tecnicamente, nessuna novità rilevante. La novità rilevante è che Stampado viene venduto in Internet esattamente con un qualsiasi servizio. E’ ciò che è stato definitio RaaS (Ransomware as a Service).

Technical Webinar QNAP&Xopero- Venerdì 22 Luglio, h 10.00

Come già comunicato qualche settimana fa QNAP, Quality Network Appliance Provider (QNAP) eXopero, produttore di applicazioni di backup in Europa, hanno annunciato di aver dato il via ad una partnership tecnologica in Italia per il prodotto Xopero QNAP Appliance, una soluzione di backup gestibile centralmente che permette di trasformare il NAS QNAP in un dispositivo di backup atto a proteggere l'infrastruttura IT dell’azienda ( leggi qui per ulteriori info). 
L’attività di distribuzione è stata affidata a noi del Network s-mart. 

Campagna Realstatistics: cybercriminali diffondono il ransomware CryptXXX tramite siti web infetti

Il team di ricercatori di sicurezza di Sucuri ha individuato una massiccia campagna di infezioni nell’arco di queste ultime due settimane, denominata Realstatistics.
Questa campagna ha compromesso migliaia di siti web costruiti con Joomla! e con WordPress. 

La campagna prende il nome dai domini usati dagli attaccanti, rintracciabili in questo codice Javascript malevolo che viene iniettato nei template PHP dei siti web sotto attacco.

Ransomware Alert! AlphaRansomware e CryptXXX

La settimana passata ha visto un periodo di relativa tranquillità per quanto concerne la nascita e gli attacchi di nuovi Ransomware; tranquillità soltanto relativa, perché negli ultimi giorni organizzazioni come il Malware Hunter Team, hanno avuto il loro da fare per
individuare e combattere i nuovi arrivati nella grande famiglia dei Ransomware.
Tra i tanti nuovi, ne trattiamo intanto 2 che riteniamo più pericolosi.

[SEQRITE] Ransomware- 11 mosse per difendersi

N. Bilogorsky, direttore del settore minacce della Cyphort, ci dà alucni consigli per difendersi e prevenire le infezioni da ransomware, virus che criptano i file rendendoli illeggibili, al fine di chiedere un riscatto alle vittime per rimetterli in chiaro.

Ransomware- 11 mosse per difendersi from netWork S.a.s

Ransomware alert! Dai creatori di Locky arriva il ransomware Bart

E di alcuni giorni fa la scoperta di un nuovo arrivato nella famiglia dei Ransomware, individuato dai ricercatori Proofpoint. La nuova minaccia prende il nome di Bart, e considerate le marcate somiglianze estetiche e non solo, i ricercatori sono indotti a pensare che sia opera degli stessi cyber criminali che già avevano dato vita al ransomware Locky e al trojan bancario Dridex.

La mail di phishing
I ricercatori hanno potuto individuare tra la notte del 24 e del 25 giugno un massiccio invio di mail di phishing. L’oggetto della mail spesso è “Photos”; l’allegato è in formato .zip, recante nomi del tipo “"photos.zip", "image.zip", "Photos.zip".
L’archivio .zip denominato PDF_[numeri casuali].js è in realtà un codice Javascript malevolo. 

Attenzione: campagna di phishing per svuotare conti Banco Posta e Postepay

Pericoli in arrivo per i clienti del servizio Bancoposta e Poste Italiane. E’ di questi giorni l’allerta lanciata dalla pagina Facebook della Polizia di stato, “Una vita da Social”, riguardo i pericoli connessi ad una campagna di mail phishing, che mira ad ottenere l’accesso ai dati e ai conti dei malcapitati clienti