Sodinokibi: attacchi contro i Managed Service Provider per diffondere il ransomware

C'era da aspettarselo, ce lo aspettavamo: la sospensione delle attività di GandCrab ha lasciato un vuoto nel mondo dei ransomware. Vuoto che è terreno di contesa tra diversi nuovi ransowmare, per conquistare il podio della minaccia ransomware più redditizia e diffusa. 

Di Sodinokibi stiamo parlando molto spesso, sia perché si sta dimostrando tra i più attivi nell'aprirsi nuovi canali di diffusione sia perchè continua a fare dell'Italia (e di pochissimi altri stati europei) l'obiettivo privilegiato. 

Un breve riassunto: cosa è Sodinokibi 

Sodinokibi è un nuovo ransomware, in diffusione da poche settimane, ma che si è già reso protagonista di svariate campagne di attacco in Europa, sopratutto in Italia e Germania. Cripta un grandissimo numero di tipologie di file: il segno distintivo di questo  ransomware è l'aggiunta di una estensione unica random che viene inserita dopo il nome originale del file criptato.  Cancella le Shadow Copies e disabilita il ripristino dello startup di Windows, così da rendere impossibile il recupero dei file eccetto che da backup esterno. Lascia una copia della nota di riscatto in ogni cartella criptata: al suo interno i contatti per ricevere le istruzioni di pagamento.   

Il Ransomware Sodinokibi ora si diffonde con nuove modalità: il nuovo partner è l'exploit kit RIG

Qualche giorno fa abbiamo diffuso un alert rispetto ad alcune campagne di spam, mirate contro utenti italiani e tedeschi, che diffondevano il ransomware Sodinokibi.

Clicca qui se vuoi approfondire l'argomento >> Nuovo allarme ransomware in Italia: Sodinokibi si diffonde via false email a contenuto legale

Ci sono però ora delle novità in merito. Nella prima versione Sodinokibi era diffuso esclusivamente tramite email di spam: la classica email pensata secondo i criteri dell'ingegneria sociale per ridurre la soglia di attenzione, ingannare, mandare in confusione l'utente per indurlo a scaricare l'allegato compromesso ed abilitarne il contenuto.  Ora, il ricercatore di exploit kit Nao_sec ha individuato una nuova procedura di diffusione di Sodinokibi, che segna un nuovo matrimonio tra exploit kit e ransomware, ovvero l'uso del celeberrimo RIG EK.

Aggiornamento Ransomware: GandCrab e Ryuk Ransomware

Breve aggiornamento settimanale su due importanti ransomware: possiamo infatti dichiarare concluso il corso di vita e attività di GandCrab, mentre torna a solcare la scena del cyber crime una vecchia conoscenza, il ransomware Ryuk.

1. GandCrab risolvibile: disponibile il tool di decriptazione.

Qualche giorno fa abbiamo appreso, ad opera degli sviluppatori stessi del ransomware, della sospensione dell'attività di GandCrab, uno dei ransomware di punta degli ultimi due anni. Ora c'è finalmente anche la possibilità di risolvere le versioni più recenti, ovvero le v. 5.0.4, v.5.1 e v.5.2. 

Coloro che necessitano di assistenza per queste infezione possono scriverci all'email alessandro@nwkcloud.it inviandoci la nota di riscatto e due file criptati. I nostri tecnici procederanno al test per individuare la versione e per l'approntamento del tool di decriptazione.

Ulteriori informazioni su www.decryptolocker.it

2. Ryuk Ransomware: individuata nuova versione

E' stata individuata, già in uso in attacchi reali, una nuova variante del ransomware Ryuk, una vecchia conoscenza che latitava dalle scene da qualche tempo. La variante individuata è dotata di una particolare blacklist, dove sono inseriti indirizzi IP e computer che non subiranno alcuna criptazione nel caso in cui il ransomware dovesse riuscire ad entrare nel sistema. 

Ursnif, il malware che minaccia l'Italia: vediamolo da vicino

Gli utenti italiani sono bersagliati, ormai da mesi, in maniera ciclica durante l'arco delle settimane, da ondate di email di spam che distribuiscono varianti differenti dello stesso malware: parliamo del trojan Usrnif. Ne abbiamo parlato qui e qui. Yoroi ha analizzato attentamente questo malware: il report completo è disponibile qui (in inglese). 

Noi ve ne rendiamo una versione breve, per punti, dato che questa minaccia continua a colpire utenti italiani e non sembra affatto che queste campagne malware avranno presto termine. 

Come si diffonde Ursnif

Come detto in molti articoli precedenti, Ursnif viene diffuso tramite campagne di spam massive rivolte contro utenti italiani. Le email recano con se un allegato, solitamente un archivio compresso .ZIP contenente, a sua volta, documenti Excel dannosi. Tali fogli di calcoli rappresentano il primo step, l'inizio della catena di infezione. Il documento Excel, una volta decompresso e aperto, richiederà l'abilitazione della macro per poter correttamente visualizzare il contenuto: la macro è compromessa e contiene il codice necessario per avviare il download del payload di Ursnif. 

Social sotto attacco: Instagram e Telegram down per attacco DDoS

Altro giorno, altra cosa: due giorni, due attacchi, due social popolarissimi vanno down. Parliamo di Telegram, vittima di un massiccio attacco DDoS tra i giorni 12 e 13 Giugno, e di Instagram ieri. 

1. L'attacco DDoS contro Telegram

Il 12 Giugno centinaia di migliaia di utenti Telegram hanno riportato problemi nel invio e scambio di messaggi. Nessun guasto, nessun problema tecnico, ma un massiccio attacco DDoS mirato contro i sistemi della società con sede in Inghilterra. 

Telegram, via Twitter, ha fatto sapere che l'attacco si è concentrato principalmente contro i server dedicati agli utenti nordamericani, anche se l'attacco ha avuto tale potenza da causare problemi al servizio anche in altri paesi. I maggiori problemi sono stati avvertiti in Brasile, Olanda, Germania, Gran Bretagna e costa est degli Stati Uniti. Come si può vedere dalla foto sotto, proveniente dal servizio Downdetector, un sito web che traccia in tempo reale disfunzioni e attacchi su vari servizi digitali, si può vedere che il punto di fuoco principale ha impattato la costa est del sud america e degli Stati Uniti.