Qualche giorno fa abbiamo diffuso un alert rispetto ad alcune campagne di spam, mirate contro utenti italiani e tedeschi, che diffondevano il ransomware Sodinokibi.
Clicca qui se vuoi approfondire l'argomento >> Nuovo allarme ransomware in Italia: Sodinokibi si diffonde via false email a contenuto legale
Ci sono però ora delle novità in merito. Nella prima versione Sodinokibi era diffuso esclusivamente tramite email di spam: la classica email pensata secondo i criteri dell'ingegneria sociale per ridurre la soglia di attenzione, ingannare, mandare in confusione l'utente per indurlo a scaricare l'allegato compromesso ed abilitarne il contenuto. Ora, il ricercatore di exploit kit Nao_sec ha individuato una nuova procedura di diffusione di Sodinokibi, che segna un nuovo matrimonio tra exploit kit e ransomware, ovvero l'uso del celeberrimo RIG EK.
Clicca qui se vuoi approfondire l'argomento >> Nuovo allarme ransomware in Italia: Sodinokibi si diffonde via false email a contenuto legale
Ci sono però ora delle novità in merito. Nella prima versione Sodinokibi era diffuso esclusivamente tramite email di spam: la classica email pensata secondo i criteri dell'ingegneria sociale per ridurre la soglia di attenzione, ingannare, mandare in confusione l'utente per indurlo a scaricare l'allegato compromesso ed abilitarne il contenuto. Ora, il ricercatore di exploit kit Nao_sec ha individuato una nuova procedura di diffusione di Sodinokibi, che segna un nuovo matrimonio tra exploit kit e ransomware, ovvero l'uso del celeberrimo RIG EK.
Nao_sec ha scoperto infatti che adesso questo ransomware viene diffuso anche attraverso malvertising: fastidiosi e insistenti pop up e ads, se cliccati anche per errore, reindirizzano a pagine contenenti l'exploit kit RIG. Tutto ciò avviene tramite la rete di ads PopCash, la quale reindirizza automaticamente verso pagine compromesse secondo certe condizioni (prima tra tutti il sistema operativo e i software eseguiti sul sistema della vittima).
Nel video sottostante è mostrato il funzionamento dell'exploit kit attraverso la sessione Any.run.
Nel video sottostante è mostrato il funzionamento dell'exploit kit attraverso la sessione Any.run.
Con questa nuova affiliazione, il ransomware Sodinokibi è pronto per aumentare in maniera esponenziale i propri attacchi. Per farci un'idea della portata di attacchi messi in atto da questo ransomware negli ultimi trenta giorni, basta guardare i dati forniti dal portale Id-ransomware: il grafico sottostante mostra tutti i campioni di file criptati da Sodinokibi caricati da utenti vittime sul portale.
Fonte: bleepingcomputer.com |
Dal momento che gli exploit kit sfruttano le vulnerabilità (nuova o vecchie, conosciute o sconosciute) di software e sistemi operativi, la difesa migliore dai suoi attacchi è certamente quella di mantenere costantemente aggiornati il proprio sistema operativo e software comunemente usati come Flash, Java, lettori PDF, i browser ecc..
Certainly a helpful post! Two of my friends at work recently got impacted by Sodinokibi Ransomware . This file virus has encrypted all their sensitive data & is demanding a hefty ransom. Would refer your post to them. Hope it works!
RispondiElimina