BTCWare: una insidiosa famiglia di ransomware. Con una nuova versione in diffusione.

E' stata individuata una nuova variante del ransomware BTCWare: quella di BTCWare è una famiglia di ransomware non molto "viva" in termini di aggiornamento e numero delle varianti, ma sicuramente pericolosa, a giudicare dal numero delle vittime. La diffusione di questo ransomware non avviene tramite la comune modalità di invio via emial di spam: BTCWare si diffonde con attacchi di brute-force contro le porte RDP protette da password deboli. I cyber-criminali quindi ottengono da remoto il controllo della macchina, quindi installano il ranomware. 

Attualmente, le versioni più pericolose sono:

• Versione 1: .btcware
• Versione 2: .nuclear
• Versione 3: .wyvern

Versione 1: BTCWare
La diffusione della prima versione iniziò nel Marzo del 2017, ma era inizialmente conosciuta come CrptXXX. Dopo meno di una settimana la primissima variante fu sostituita da quella che è da considerarsi la capostipite della famiglia: il ransomware assunse quindi il nome di BTCWare o CryptoByte. Nel mese di Aprile dello stesso anno, BTCWare si impose subito come ransomware pericoloso, registrando circa 10 infezioni al giorno. 

IoT Botnet invia email spam

Quando si parla di IoT botnet, il riferimento più frequente è quello agli attacchi DDoS. Un attacco DDoS (Distributed Denial-of-Service) si differenzia da un regolare attacco DoS - effettuato da un singolo hacker che utilizza un solo sistema - in quanto si estende su un raggio d’azione più ampio, attraverso sistemi d’attacco multipli. 

Mentre la maggior parte delle botnet di IoT vengono utilizzate per gli attacchi DDoS, negli ultimi mesi molti ceppi di malware di IoT - solitamente utilizzati per l’assemblaggio di queste botnet - hanno aggiunto delle nuove funzioni. La principale fra queste è la capacità di ritrasmettere il traffico web attraverso l’installazione di un server proxy sui dispositivi infetti. 

Nuovo ransomware della famiglia CryptoMix: ecco SHARK

Due giorni fa è stata individuata, in the wild, una ennesima, nuova versione di ransomware appartenente alla famiglia CryptoMix. Quella di CryptoMix è una famiglia in costante evoluzione, tantoché, come scritto anche in precedenza, se ne conta una nuova versione a settimana. Stavolta, invece, sono trascorse oltre 3 settimane dall'ultimo rilascio. 

Dettagliamo meglio le novità rispetto alla precedente versione. 

Cambia l'estensione...
La nuova versione non ha apportato modifiche nel meccanismo di criptazione: è cambiata semplicemente l'estensione che viene aggiunta ai file criptati. In questo caso .SHARK. Il nome del file viene invece sostituito con una serie di 32 caratteri esadecimali.

Fonte: bleepingcomputer.com

La nota di riscatto
La nota di riscatto si chiama ancora _HELP_INSTRUCTION.TXT, ma sono cambiate le email di contatto alle quali le vittime devono rivolgersi per ottenere le istruzioni di pagamento.

Fonte: bleepingcomputer.com

Le chiavi di criptazione...

Questa variante contiene 11 chiavi pubbliche RSA-1024 che vengono usate per criptare la chiave AES usata per la criptazione dei file. Anche questa vesione quindi può lavorare completamente offline senza comunicazioni di rete. Queste 11 chiavi sono però differenti da quelle della versione precedente Arena Ransomware. 

Indicatori di compromissione

File associati al Ransomware Shark

_HELP_INSTRUCTION.TXT

C:\ProgramData\[random].exe

Mail associate al Ransomware Shark

shark01@msgden.com

shark02@techmail.info

shark003@protonmail.com

Fonte:
https://www.bleepingcomputer.com/news/security/the-shark-cryptomix-ransomware-variant-smells-blood-in-the-water/

Android e Trojan bancari: qualche aggiornamento e come difendersi

Le recenti scoperte di molteplici varianti di trojan bancari per Android presentano un significativo rischio per la sicurezza di tutti gli utenti, che sempre più spesso sono esposti al rischio di vedersi rubare dati sensibili e credenziali di accesso.

Red Alert 2.0

L'ultima scoperta riguarda Red Alert 2.0, un trojan bancario scoperto in vendita nel dark web a circa 500 dollari al mese. Red Alert 2.0, al contrario della quasi totalità dei malware bancari, è stato completamente scritto da zero: BankBot, ExoBot e altri sono stati costruiti mettendo assieme pezzi di codice di vecchi trojan. Viene diffuso ormai da mesi su svariati forum di hacking online ed è stato costantemente aggiornato allo scopo di aggiungere nuove funzionalità. 

Che cosa fa?

Red Alert 2.0 ha svariate funzionalità:

Il Ransomware Locky passa all'estensione Ykcol per i file criptati

Una nuova versione del Ransomware Locky è stata recentemente scoperta: il malware è infatti passato all’estensione .yckol per i file criptati. Yckol, si faccia caso, altro non è che Locky al contrario: che questo ransomware sia parte della famiglia è confermato non solo dal nome, ma anche dal meccanismo di criptazione. Ricordiamo quindi, a chi dovesse essere vittima di questo ransomware, che non siamo di fronte ad una nuova famiglia di "virus del riscatto", ma al vecchio, e mai risolto Ransomware Locky.

Come si diffonde?
Questa nuova variante viene distribuita attraverso messaggi spam di posta elettronica: questi messaggi sono camuffati da fatture e contengono un allegato 7zip o 7z. L’allegato contiene un file VBS che, quando viene eseguito, scarica l’eseguibile di Locky da un sito remoto e lo esegue.