martedì 24 gennaio 2017

La minaccia si diffonde: Spora ransomware diventa globale !


Quello che tutti temevamo sta accadendo : SPORA ransomware (di cui abbiamo parlato qui) ha iniziato a diffondersi in nuovi territori al di fuori degli ex stati sovietici. Come avevamo già riportato Spora Ransomware è apparso la prima settimana di gennaio di questo anno e la sua prima versione era caratterizzata da una richiesta di riscatto scritta solo in russo: fatto che stava a significare che in quel momento gli unici obiettivi erano gli utenti russi.

Questa intuizione è stata confermata dai fatti: per i primi giorni gli unici ad essere infettati sono stati proprio gli utenti russi. Questa tendenza è proseguita per tutta la settimana , ad eccezione di qualche sporadico attacco ai vicini come il Kazakistan, la Bielorussia ed altri , ma il maggior numero di infezioni sono state rilevate sempre sul territorio russo.


Spora diviene globale... 
La settimana scorsa le cose sembrano aver subito un cambiamento. Si è cominciato a rilevare attacchi al di fuori dei paesi dell'ex unione sovietica. Paesi come l'Arabia Saudita, l'Austria e i Paesi Bassi sono diventati punti di concentramento dell'infezione. Questo cambiamento del target geografico è accaduto proprio perchè spora ha smesso di distribuirsi tramite email di spam scritte esclusivamente in russo: infatti i cyber-criminali ideatori del ransomware hanno cominciato a mandare tramite exploit kit nuove ondate di spam.

Come è avvenuta la distribuzione.. 
Sembra che sia stato utilizzato un server di distribuzione malware che "ospita" più tipi di infezioni come per esempioi ransomware  Cerber, Spora, Locky e il nuovissimo Sage. Questo server ha già in passato distribuito minacce come Cerber e Locky e recentemente è stato testato per Spora. Probabilmente hanno scelto di testare proprio Spora per la sua ampia gamma di opzioni di pagamento.

Attualmente il ransomware viene distribuito dallo stesso server in vari modi:
- con exploit kit: Spora viene distribuito tramite exploit kit RIG-v.
- via campagne di spam: si inviano email ingannevoli con allegati dannosi. L'allegato contiene il codice binario di Spora.

Non si hanno ancora sufficienti informazioni per capire se i due metodi di distruibuzione abbiano origine in due diversi gruppi di cyber-criminali:  cioè che è certo è che il supporto del ransomware Spora include il "campaign ID" (un codice identificativo delle varie campagne), un parametro utile a tracciare l'efficacia delle varie campagne di spam, ma anche per tenere traccia dei diversi gruppi che hanno affittato il ransomware dai suo programmatori originari.

Una cosa è certa: ormai Spora è diventato una minaccia globale.

Una parte dei servizi offerti dal gestionale di Spora
RAAS: ransomware as a service
Spora altro non è che questo, un servizio. I programmatori lo affittano nel dark-web e hanno organizzato attorno al ransomware tutto un servizio di modifica, supporto, pagamento e perfino di marketing. Non è una novità ormai: del mercato dei ransomware abbiamo parlato diffusamente qui e qui 

Nessun commento:

Posta un commento