La scorsa settimana è stata flagellata dal fenomeno dei ransomware, tra attacchi eclatanti e nuove versioni in diffusione. Rende bene l'idea il report settimanale pubblicato da Bleeping Computer sulle novità riguardanti i ransomware: prima di un lunghissimo elenco di nuove versioni e di infezioni che hanno messo in crisi anche intere città e istituzioni universitarie, troviamo un titolo ad effetto, ma chiaro "under siege", sotto assedio.
Segnaliamo solo le novità principali e di maggiore risalto, nell'intento di dare un quadro breve, ma chiaro, su quanto il ransomware stia risalendo nella top dei malware dopo un periodo in cui i minier di criptovaluta sembravano destinati a sostituire i "virus del riscatto" nell'armamentario preferito dei cyber criminali.
In breve:
1. Dharma ransomware: un diluvio di nuove versioni
2. L'exploit Kit RIG "sposa" il ransomware Eris
3. Città e università criptate: come un virus può paralizzare intere istituzioni
4. Nuovo Ransomware bersaglia solo i QNAP: abbiamo la soluzione!
4. Nuovo Ransomware bersaglia solo i QNAP: abbiamo la soluzione!
1. Nuove versioni d Dharma
Il primo utile aggiornamento è la sequenza, impressionante, di nuove versioni del ransomware Dharma. Non che sia una novità: Dharma, si è sempre caratterizzato come uno dei malware più prolifici nella creazione di nuove versioni.
Tra le nuove versioni, alcune già circolanti in Europa:
- Dharma Crash > estensione di criptazione .crash
- Dharma PHP > estensione di criptazione .php
- Dharma DQB > estensione di criptazione .dqb
- Dharma Save > estensione di criptazione .save
Tutte queste versioni, individuate in diffusione tra l'8 e il 14 Luglio, non hanno attualmente una soluzione.
2. L'exploit Kit RIG "sposa" il ransomware Eris
Dell'exploit kit RIG abbiamo parlato recentemente, dato il nuovo sodalizio che lo ha legato al destino del ransomware più diffuso in Italia in questo periodo, ovvero Sodinokibi. RIG è infatti uno dei tanti Exploit Kit in costante ricerca di nuove partnership che consentano ai suoi sviluppatori di guadagnare dalla diffusione di malware.
Qualche giorno fa è stata individuata una campagna di diffusione di un ransomware piuttosto recente, ERIS appunto, tramite l'exploit kit RIG, segno che RIG ha "sottoscritto" una nuova partnership. La tecnica di diffusione è molto simile a quella di diffusione di Sodinokibi: tramite il network di ads popcash gli utenti sono reindirizzati su pagine web compromesse con l'exploit kit RIG. E' una classica campagna di malvertising.
 |
| Fonte: bleepingcomputer.com |
Il kit tenta l'exploit di una vulnerabilità di Shockwave (SWF) nel browser. Se il tentativo ha successo, si avvia la criptazione dei file ospitati nel sistema bersaglio. I file criptati da questo ransomware sono riconoscibili dal fatto che la criptazione non me modifica il nome, ma viene aggiunta l'estensione .ERIS.
 |
| Fonte: bleepingcomputer.com |
Attualmente non esiste una soluzione per la decriptazione dei file criptati da ERIS senza l'intervento dei suoi sviluppatori.
3. Città e università criptate: come un virus può paralizzare intere istituzioni
Ci spostiamo temporaneamente di continente, per approdare negli Stati Uniti dove da più di un mese e mezzo, si registrano enti pubblici ed istituti educativi flagellati da infezioni ransomware, per risolvere le quali sono stati pagati riscatti di entità piuttosto imponente.
Per rimanere all'ultima settimana, in meno di 4 giorni sono finiti sotto attacco due importanti istituzioni educative: l'11 Luglio il Northwest Indian College, nello stato di Washington è stato colpito dal ransomware Ryuk. L'attacco ha corrotto molteplici file interni sui sistemi dell'istituto scolastico, compresi i backup e i cosiddetti "legacy data" (N.d.R: si intendono quei dati salvati in formati o sistemi obsoleti a causa di molteplici fattori che rendono difficile/impossibile la sostituzione o l'aggiornamento).
Due giorni dopo, il Monroe College viene colpito da un ransomware con caratteristiche molto simili a Ryuk: in poco meno di un'ora finiscono criptati i file presenti nei sistemi dei tre campus in possesso al Monroe College, a Manhattan, a New Rochelle e a St. Lucia. Gli attaccanti hanno richiesto la cifra record di 170 Bitcoin, quantificabili approssimativamente in 2 milioni di dollari.
Questi due episodi allungano la lista di attacchi ransomware eclatanti che stanno assediando, è il caso di dirlo, una serie di istituzioni private e pubbliche nord americane. Lo scorso mese due diverse città in Florida sono state colpite da attacchi ransomware mirati. La città di Lake City, incapace di ripristinare i sistemi, ha pagato piuttosto velocemente un riscatto di circa 42 Bitcoin ai cyber attaccanti, circa 500.000 dollari. Riviera Beach invece ha dovuto pagare 65 Bitcoin, circa 600.000 dollari. In entrambi i casi, nonostante le indicazioni dell'FBI che ovviamente ha sconsigliato ai sindaci delle due città di pagare il riscatto, i Municipi hanno optato per il pagamento a causa dell'impossibilità di risolvere velocemente attacchi che hanno paralizzato completamente una lunghissima serie di servizi pubblici.
Per approfondire, un articolo di Quick Heal sul tema >> Città criptate: quando i ransomware bloccano le città
Nessun commento:
Posta un commento