Famiglia CryptoMix: ennesima variante modifica l'estensione dei file criptati in .tastylock.

Continuiamo la lunga rassegna sull'attivissima famiglia di ransomware Cryptomix. Dopo 3 settimane di silenzio ecco l'ennesima nuova versione in distribuzione (dell'ultima versione abbiamo parlato qui). E' stata individuata da Michael Gillespie, che ne scrive su Bleeping Computer una piccola analisi tecnica.

Come già successo per altre versioni, l'impianto base di questo ransomware non ha subito variazioni nel meccanismo di criptazione. Cambiano solo l'estensione aggiunta ai file criptati e le email di contatto. 

Le novità di questa variante

Abbattuta la botnet Satori: ma il problema della sicurezza dei dispositivi IoT si fa incalzante.

Qualche tempo fa abbiamo parlato di Satori, una botnet trovata attiva su oltre 280.000 IP diversi: origina da Satori una variante del già arcinoto malware DDoS Mirai (ne avevamo parlato qui). Il malware Satori-Mirai infettava i router Huawei, sui quali l'attaccante (o gli attaccanti) aveva individuato una vulnerabilità zero day. Ora però il problema è stato risolto.

Come funzionava Satori

Satori, individuato ai primi di Dicembre, usava una tecnica molto simile a quella usata da Mirai per attaccare i router: il malware eseguiva uno scanning sulle porte 37215 e 52869, afflitte  da due diverse vulnerabilità.

La prima, che agisce sulla porta 37215, è la famosa zero-day (CVE-2017-17215) che colpisce i router Huawei. La seconda, che agisce sulla porta 52869, è invece ben nota agli esperti di sicurezza ed è un bug (nel dettaglio CVE-2014-8361) dei dispositivi Realteck SDK e D-Link. Tramite queste vulnerabilità Satori prendeva possesso del dispositivo e lo rendeva nodo della botnet. Oltre a ciò cominciava immediatamente a cercare altri bersagli vulnerabili per attaccarli. A questo si deve l'ampia estensione della botnet. 

Problema risolto!

WordPress sotto assedio: invaso dai Miner di criptovaluta

Giusto ieri scrivevamo un articolo riguardo al fatto che i cyber-criminali sempre più spesso rinunciano alla diffusione dei ransomware per cercare forme più facili e redditizie. E per l'appunto vari gruppi stanno optando per i miner di criptovaluta.

Ecco, abbiamo una ulteriore conferma di questo trend, che probabilmente ci accompagnerà per tutto il 2018. La settimana scorsa infatti WordPress è stato bersagliato da una serie di attacchi a tappeto: una vera e propria campagna che ha colpito oltre 200.000 siti all'ora. I ricercatori di Wordfence, che hanno individuato la catena di attacchi e stanno cercando di arginarla, parlano della "più imponente operazione degli ultimi 5 anni".

Come funziona l'attacco?

Quando i cyber-criminali passano dai ransomware ai miner di criptovaluta

Il gruppo di cyber-criminali dietro a VenusLocker, un ransomware che non ha nei fatti mietuto numerose vittime, ha deciso di concentrarsi sulla distribuzione di Miner per Monero.

Questo switch non è per nulla una sorpresa: il prezzo dei Monero è passato dai 132 dollari del 21 di Novembre ai 457 di oggi, 21 Dicembre. Nei mesi scorsi questo cambio è stato registrato numerose volte: Zealot, Hexmen, Loapi e l'ondata di attacchi di brute-force che ha sconquassato Wordpress, sono tutti nuovi tentativi di guadagno messi in atto da cyber-criminali che trovano adesso più conveniente darsi al mining di criptovaluta che seguire il lungo e complicato processo di diffusione-infezione-richiesta del riscatto-pagamento che sta alla base dei profitti garantiti dai ransomware.  Una tendenza già notata e in crescita (come abbiamo scritto qui e qui).

La rivalutazione continua delle criptovalute, in minor misura Ethereum, ma sicuramente impressionate se invece ci riferiamo al Bitcoin, è attualmente lo stimolo principale che ci fa affermare che è piuttosto verosimile aspettarsi un 2018 flagellato dai miner, per disgrazia delle CPU dei nostri PC e delle bollette elettriche.

I metadati collegano la crew di VenusLocker con l'attuale campagne

Tre malware hanno bersagliato i server MSSQL e MySQL per tutto l'anno.

Un attaccante cinese ( ma più probabilmente un gruppo) ha bersagliato i database MSSQL e MySQL su sistemi Windows e Linux per tutto l'anno, distribuendo tre diversi malware, uno per server, secondo diverse finalità. 

Il gruppo (o il singolo attaccante, non è un dato noto) ha iniziato la propria attività all'inizio dell'anno e detiene una infrastruttura "tentacolare" apposita per scansionare host vulnerabili, lanciare attacchi e gestire i malware. Questa vasta infrastruttura e l'uso di malware diversi hanno aiutato il gruppo a rimanere nascosto per tutto questo tempo: i vari incidenti causati dai loro attacchi infatti sono rimasti non collegati tra loro per la maggior parte dell'anno. 

I tre (nuovi) malware