Il ransomware Matrix di nuovo in diffusione via exploit kit.

Qualche tempo fa abbiamo parlato del ransomware Matrix: individuato già a partire dal 2016, ma assolutamente minoritario nel panorama delle minacce online. Dopo un lungo periodo di attività sotto traccia, ricompare ad Aprile 2017 con una caratteristica molto particolare: la capacità di diffondersi come un worm (qui più info). La diffusione resta assolutamente secondaria, fino quasi a condannarlo alla scomparsa. Ora è tornato alla carica.

Come si diffonde?
La vecchia versione si diffondeva sfruttando l'exploit kit RIG diffuso via EITest: quella attualmente in distribuzione riconferma l'uso dell'exploit kit RIG_EK. 

Invasione dei miner di cripto-valuta. Ora anche per Android.

I più assidui frequentatori di siti per lo streaming online avranno notato strani rallentamenti del sistema operativo, oppure ancora l'aumento improvviso della temperatura del PC e del lavoro della ventola.. E' in corso una vera e propria epidemia di miner: più si amplia la rete di scambio di moneta virtuale più operazioni si devono svolgere, maggiore è la necessità di potere di calcolo (vedi qui per saperne di più). 

I miners in Javascript
L'ultima "moda" è quella di distribuire miner in-browser in JavaScript , una tendenza iniziata ormai a Settembre e che ora sta diventando seriamente preoccupante avendo raggiunto anche app ufficiali nel Google Play Store, ma anche distribuzioni di massa attraverso botnet di siti Wordpress hackerati. Tra questi Coinhive continua ad essere il più pericoloso, perché il più scelto dai cyber-truffatori. 

Anche Bad Rabbit usa exploit rubati all'NSA: implementa ETERNALROMANCE

Due giorni dopo l'attacco ransomware di Bad Rabbit, che ha duramente colpito Russia e Ucraina (ma registrato vittime anche in Germania, Turchia, Stati Uniti ecc..), i ricercatori di sicurezza hanno scoperto altri dettagli riguardo al funzionamento del malware. Inizialmente si era infatti convinti che il meccanismo di diffusione del ransomware dalla vittima iniziale ai computer nella stessa rete passasse dal tentativo di accedere via protocollo SMB usando una serie di credenziali: una nuova ricerca (Cisco Talos e F-Secure) rivela che invece Bad Rabbit ha usato una versione modificata di un exploit dell'NSA per migliorare il processo di diffusione.

Non c'è due senza tre.

E' la terza volta, sono quest'anno, che l'attacco di un ransomware raggiunge livelli di diffusione mondiale sfruttando cyber-armi approntate dall'NSA e pubblicate online dopo l'attacco del gruppo Shadow Brokers che le ha sottratte dall'NSA stessa (per approfondire vedi qui e qui). 

Il trojan bancario LokiBot diventa un ransomware quando si prova a rimuoverlo.

E' stato individuato un trojan bancario per Android, rinominato LokiBot che si trasforma in un ransomware e blocca lo smartphone quando si prova a rimuoverlo con i privilegi di amministrazione. Il malware è più trojan bancario che ransomware. LockyBot funziona mostrando false schermate di login nelle finestre delle app più popolari: cerca di rubare le credenziali delle app per il banking online, ma mira anche a Skype, Outlook e Whatsapp.

N.B: L'infezione E' RISOLVIBILE: vedi in fondo all'articolo. 

In vendita nel web

LokiBot è un in vendita nel web, in alcuni forum di hacking. Il prezzo è di 2000 dollari circa da pagarsi, ovviamente, in Bitcoin. 

Bad Rabbit: un nuovo ransomware pericoloso come WannaCry

Un nuovo ransomware, chiamato Bad Rabbit, sta proprio in queste ore colpendo duramente alcune regioni dell'est Europa, bersagliando principalmente agenzie governative e aziende private. Attualmente gli stati più colpiti sono Russia, Ucraina, Bulgaria, Turchia. Tra le "vittime eccellenti" l'aeroporto di Odessa e la metropolitana di Kiev in Ucraina, il Ministero delle infrastrutture ucraino e 3 agenzie di stampa russe. Nonostante non colpisca l'Italia riteniamo utile parlarne per l'inquietante numero di funzionalità che dimostra di avere e la capacità davvero impressionante di diffusione. La velocità con la quale Bad Rabbit si è diffuso infatti è simile a quella con la quale WannaCry e NotPetya si sono diffusi risultando tra i peggiori attacchi ransomware della storia. 

Come si diffonde?

Secondo vari ricercatori Bad Rabbit è stato diffuso inizialmente come pacchetto di aggiornamento di Flash Player, ma il ransomware sembra dotato anche di strumenti che lo aiutano nella diffusione