Scoperta ad agosto la nuova versione del ransomware RAA. Il malware è apparso nel panorama delle minacce a giugno 2016 ed è stato il primo ransomware conosciuto interamente scritto in JScript. Proprio come nella versione precedente, il malware viene distribuito via email, ma ora il codice nocivo è nascosto in un archivio zip protetto da password che viene inviato in allegato. Questa misura è stata implementata dai criminali principalmente per ingannare le soluzioni anti-virus rendendo il contenuto dell’archivio protetto più difficile da esaminare.
Analizzando le email, gli esperti di Kaspersky Lab hanno concluso che i cyber criminali stanno prendendo di mira le aziende invece dei comuni utenti, usando email nocive contenenti informazioni su un ordine di pagamento di un fornitore in ritardo. Per far sembrare le email più autentiche, i criminali affermavano che, per motivi di sicurezza, il file allegato era stato protetto (la password per l’archivio veniva fornita in fondo all’email) e ulteriormente difeso tramite crittografia asimmetrica. Questa affermazione suona assurda agli utenti più esperti, ma fa affidamento sulle vittime più ingenue.
Il restante processo d’infezione sembra simile a quello della precedente versione del ransomware RAA. La vittima esegue un file .js, che avvia il processo nocivo. Per distrarre la vittima, il trojan mostra un falso documento di testo che contiene una serie casuale di caratteri. Mentre la vittima cerca di capire cosa stia succedendo, in background RAA cripta i file sulla macchina. Infine, il ransomware crea una richiesta di riscatto sul desktop e tutti i file criptati mostrano la nuova estensione .locked.
Rispetto alla versione precedente, la principale differenza ora è che RAA non ha bisogno di comunicare con il server C&C per criptare i file sul PC della vittima, come faceva prima. Invece che chiedere una master key al server di comando e controllo, il trojan la genera, cripta e archivia sulla macchina infetta. I cyber criminali hanno la chiave per decriptare la singola master key e, una volta pagato il riscatto, chiedono all’utente di inviare loro la master key criptata, che viene poi restituita decriptata alla vittima, insieme a una parte del software di decriptazione. Questo schema è stato ovviamente implementato per permettere al malware di criptare le macchine anche offline, nello stesso modo di quando sono connesse a Internet.
Inoltre, insieme al ransomware RAA, la vittima riceve anche il trojan Pony, che è in grado di rubare le password da tutti i client email, compresi quelli corporate, e le invia a un criminale che opera da remoto. Avere queste password significa che i cyber criminali possono potenzialmente diffondere il loro malware per conto degli utenti infettati, convincendo con più facilità la vittima successiva della legittimità dell’email. Dall’email aziendale della vittima, il malware può venire diffuso a tutta la sua lista di contatti, da cui i criminali possono anche selezionare i contatti di interesse e condurre attacchi mirati.
Per limitare il rischio d’infezione, le aziende dovrebbero seguire i seguenti consigli:
- Usare tecnologie di protezione endpoint e soluzioni antivirus efficaci, assicurandosi che siano attivate tutte le “funzionalità euristiche”.
- Educare gli impiegati dell’azienda a fare più attenzione.
- Aggiornare sempre i software sulle macchine dell’azienda.
- Condurre regolarmente verifiche di sicurezza.
- Fare attenzione alle estensioni dei file prima di aprirli. Quelli potenzialmente pericolosi includono le estensioni: .exe, .hta, .wsf, .js, e così via.
- Usare il senso comune e analizzare le email che provengono da mittenti sconosciuti.
Attualmente, il ransomware RAA viene diffuso tra gli utenti di lingua russa, come è dimostrato dalla nota per il riscatto in russo. Tuttavia, potrebbe non volerci molto prima che i suoi programmatori decidano di diffonderlo a livello globale.
