Ransomware & città criptate: la "strage" texana di Agosto

Qualche tempo fa abbiamo scritto un breve articolo che ricapitolava una delle più gravi ondate di attacchi ransomware degli Stati Uniti: municipalità, istituzioni scolastiche, ospedali con parte dei servizi bloccati o sospesi per il down dei sistemi, incapaci o senza i mezzi necessari per risolvere l'infezione e quindi obbligati nella scelta di una drammatica perdita di dati da un lato o del cedimento al ricatto dall'altro. E molte vittime hanno deciso di pagare il riscatto. La situazione si presentava così grave già nel mese di Luglio, al punto da portare lo stato della Lousiana a dichiarare emergenza nazionale. 

Leggi >> Ransomware & città criptate: cosa sta accadendo negli Stati Uniti?

La storia si ripete, ma in peggio

Il 16 Agosto oltre 22 enti pubblici sono finiti sotto attacco ransomware: lo ha annunciato direttamente il Governo Texano, parlando di decine di enti i cui sistemi sono finiti bloccati a causa di un attacco ransomware coordinato: protagonista il giovane, ma già famigerato, ransomware Sodinobiki. 

Il ritorno dei ransomware via SMS: Filecoder mira i SO Android

Sono almeno due anni che i ransomware per Android sono in declino, senza nessuna versione nuova degna di nota e senza campagne di diffusione di ampie dimensioni.  Ieri però ESET ha lanciato un alert importante, da tenere in considerazione e che, potenzialmente, indica un cambio di tendenza nel panorama delle minacce ransomware. 

E' stata infatti individuata una nuova famiglia di ransomware pensata appositamente per SO Android, distribuita tramite vari forum online. Usando la lista di contatti delle vittime, questo ransomware si diffonde ulteriormente via SMS: l'intera rubrica della vittima verrà usata per inviare SMS contenenti appunto il link dannoso cliccando il quale si avvia la catena d'infezione. Ad ora l'unica buona notizia è che questo ransomware, ribattezzato Filecoder, ha una diffusione veramente limitata, ma se i suoi sviluppatori dovessero decidere di distribuirlo in campagne più ampie, la minaccia diverrebbe davvero seria. 

Nuova versione di Trickbot attacca il Microsoft Windows Defender

Continua l'evoluzione del famigerato trojan bancario TrickBot per prevenire l'individuazione e ridurre le possibilità di rimozione dal sistema infetto: la nuova versione, individuata in diffusione nella giornata di ieri, concentra i propri sforzi contro Windows Defender, che è molto spesso l'unico antivirus installato sul computer di utenti che eseguono Windows 10.

Trickbot in breve

TrickBot è un trojan bancario che tenta il furto delle credenziali del banking online, dei portafogli di criptovaluta, le informazioni del browser e altre credenziali salvate sul tuo PC e browser. 

"TrickBot è una famiglia di trojan bancari che ormai è in diffusione da molto tempo, dal 2016: in continua evoluzione si distingue per l'architettura modulare, che gli permette di integrare nuovi moduli per ampliare la gamma delle azioni dannose che può eseguire su un sistema infetto. Ma non solo "commenta Alessandro Papini, Presidente di Accademia Italiana Privacy ed esperto di sicurezza IT "esegue numerose tecniche per garantirsi di restare nascosto agli antivirus e ai servizi di sicurezza in generale. Un malware molto insidioso, al punto che il CISA (il Dipartimento per le Cyber Infrastrutture della Sicurezza nazionale USA) lo ha approfondito in un apposito report-alert pubblicato ad Aprile, rivolto sopratutto alle aziende. La nuova versione rende essenziale, per gli utenti Windows 10, l'introduzione di ulteriori misure di sicurezza: è ormai pratica diffusa quella di limitarsi al solo Windows Defender come strumento di difesa del dispositivo e dei dati, ma, per quanto possa essere solido, questo caso dimostra che occorrono necessariamente più livelli di sicurezza". 

La catena di infezione

Ransomware & città criptate: cosa sta accadendo negli Stati Uniti?

Da oltre un mese e mezzo città e istituzioni negli Stati Uniti sono sotto un serrato attacco da parte di ransomware. Lo schema è sempre lo stesso (a parte alcune eccezioni): infettare il sistema della municipalità o dell'istituto scolastico spesso via email, criptare i dati portando al blocco di una lunghissima serie di servizi, richiedere un riscatto molto alto ed aspettare. E, a parte rare eccezioni, quasi tutte le vittime stanno cedendo. 

Difficile dire se vi sia un unico gruppo, oppure se più gruppi stanno attaccando contemporaneamente: quel che è certo è che negli Stati Uniti i ransomware stanno diventando una minaccia alla sicurezza nazionale. Non stiamo scherzando: ad esempio ieri lo Stato della Louisiana ha dichiarato lo stato di emergenza nazionale a causa di un attacco ransomware.  Proviamo a ricostruire una piccola cronologia degli attacchi. 

1. Lo stato della Louisiana dichiara l'emergenza nazionale per attacco ransomware (Luglio)

Vulnerabilità dell'RDP BlueKeep: individuata botnet miner in cerca di host vulnerabili

Ricordate BlueKeep, la vulnerabilità critica nell'RDP di Windows così grave da aver indotto Windows a rilasciarne la patch anche per versioni obsolete del sistema operativo Microsoft non più coperte dal supporto. 

Watchbog in breve

In brevissimo si tratta di una botnet interamente dedicata al mining di criptovaluta su dispositivi infetti zombie. Ne sono in circolazione diverse versioni, la quasi totalità delle quali pensate per attaccare e infettare server Linux. La scoperta di una nuova versione con intergrato BlueKeep è la prova lampante del debutto di questo bot nel mondo Windows. 

BlueKeep in Breve