giovedì 24 novembre 2016

Quick Heal Threat's Report terzo trimestre 2016: principali malware per Windows

Ransomware
Q3 ha rilevato una crescente diffusione di attacchi ransomware che presentano nuove varianti. In questo trimestre, è stata riscontrata una nuova variante del ransomware Locky, conosciuto come ransomware Zepto, in aumento. Questo si sta propagando tramite spam dannoso e exploit kit. Il cambiamento più evidente osservato in Zepto è l’estensione allegata dei file crittografati, vale a dire da ‘.locky’ a ‘.zepto’. Nella maggior parte dei casi, la vittima riceve una mail contenente un allegato che sembra provenire da una fonte legittima. Il file allegato archiviato (che può contenere un JS, FSM, HTA o DOCM) in realtà è un Trojan Donwloader responsabile di scaricare il carico sul computer di destinazione. Il carico utile scaricato è inizialmente un file codificato extension-less che viene poi decodificato dal Trojan che scarica in un file eseguibile (.exe), il quale poi si forma in un ransomware criptato. Nelle successive varianti, abbiamo osservato che il carico utile si è trasformato da file eseguibile (.exe) a una libreria a collegamento dinamico (DLL). L’utilizzo del file DLL è stato precedentemente visto nelle varianti del ransomware CryptXXX, che sono state diffuse attraverso Angler exploit kit, e poi successiva
mente attraverso l’exploit kit Neutrino.
Gli episodi di diffusione dei ransomware mediante no-pe file (portable executable) sono aumentati nel Q3.

Qui di seguito vi sono i primi 10 rilevamenti di file no-pe che agiscono come un downloader.




Informazioni aggiuntive
Il Troldesh ransomware
Come osservato recentemente, i criminali stanno utilizzando un nuovo vettore di consegna dei ransomware noto come Troldesh (anche
conosciuto come XTBL). I criminali informatici sono sospettati di diffondere ed eseguire questo malware ottenendo direttamente l'accesso al computer della vittima tramite desktop remoto. Per impostazione predefinita, Windows Remote Desktop funzionerà
solo su una rete locale se non configurata altrimenti su un router o H/W Firewall. Questo è generalmente visto in organizzazioni in cui i sistemi (di solito server) sono accessibili a più rami per vari compiti. Questo
spiega perché la maggior parte dei sistemi colpiti sono Windows Server OS. L'accesso remoto al computer della vittima è ottenuto utilizzando tecniche a forza bruta, che possono efficacemente rubare le password deboli.
In genere, un attacco di forza bruta analizza intervalli IP e le porte TCP (3389 nel caso di RDP) che sono aperti per la connessione. Una volta che un attaccante trova una porta, lancia l'attacco. La tecnica utilizza la forza bruta di un attacco a tentativi ed errori per indovinare la password con un elenco di credenziali di uso comune, parole del dizionario, e altre combinazioni. Una volta che l'accesso è acquisito, i criminali semplicemente disattivano l'antivirus del sistema ed eseguono il carico utile direttamente. Questo significa che, anche se l'antivirus è aggiornato e ha una rilevazione contro i malware, raggirando la sua protezione, rende il sistema privo di difese.

Il Cerber3 ransomware
Abbiamo osservato che una nuova variante del ransomware Cerber3 si sta diffondendo attraverso il software Ammyy Admin sul sito web ufficiale Ammyy Admin. Questa notizia, tuttavia, non è sorprendente in quanto questo sito è stato
trovato per ospitare malware nei diversi casi. In precedenza, il sito è stato utilizzato per diffondere il noto ransomware Cryptowall 4,0. Abbiamo anche osservato un aumento dei casi di infezioni dovute al ransomware Cerber, in cui le vittime avevano scaricato ed eseguito il software Ammyy Admin dal sito web originale.

Nuovi ransomware osservati nel Q3 2016:
• Crypmic
• VenusLocker
• PokemonGo
• Hitler
• Squalo
• DetoxCrypto
• CryptoBit
• Domino
• CryptoFinance
• Piangere
• HDDCrypt

Nessun commento:

Posta un commento