Home Internet Il ransomware RAA colpisce gli obiettivi business

Il ransomware RAA colpisce gli obiettivi business

-

Tempo di lettura: 3 minuti

Scoperta ad agosto la nuova versione del ransomware RAA. Il malware è apparso nel panorama delle minacce a giugno 2016 ed è stato il primo ransomware conosciuto interamente scritto in JScript. Proprio come nella versione precedente, il malware viene distribuito via email, ma ora il codice nocivo è nascosto in un archivio zip protetto da password che viene inviato in allegato. Questa misura è stata implementata dai criminali principalmente per ingannare le soluzioni anti-virus rendendo il contenuto dell’archivio protetto più difficile da esaminare.

Analizzando le email, gli esperti di Kaspersky Lab hanno concluso che i cyber criminali stanno prendendo di mira le aziende invece dei comuni utenti, usando email nocive contenenti informazioni su un ordine di pagamento di un fornitore in ritardo. Per far sembrare le email più autentiche, i criminali affermavano che, per motivi di sicurezza, il file allegato era stato protetto (la password per l’archivio veniva fornita in fondo all’email) e ulteriormente difeso tramite crittografia asimmetrica. Questa affermazione suona assurda agli utenti più esperti, ma fa affidamento sulle vittime più ingenue.

Il restante processo d’infezione sembra simile a quello della precedente versione del ransomware RAA. La vittima esegue un file .js, che avvia il processo nocivo. Per distrarre la vittima, il trojan mostra un falso documento di testo che contiene una serie casuale di caratteri. Mentre la vittima cerca di capire cosa stia succedendo, in background RAA cripta i file sulla macchina. Infine, il ransomware crea una richiesta di riscatto sul desktop e tutti i file criptati mostrano la nuova estensione .locked.

Rispetto alla versione precedente, la principale differenza ora è che RAA non ha bisogno di comunicare con il server C&C per criptare i file sul PC della vittima, come faceva prima. Invece che chiedere una master key al server di comando e controllo, il trojan la genera, cripta e archivia sulla macchina infetta. I cyber criminali hanno la chiave per decriptare la singola master key e, una volta pagato il riscatto, chiedono all’utente di inviare loro la master key criptata, che viene poi restituita decriptata alla vittima, insieme a una parte del software di decriptazione. Questo schema è stato ovviamente implementato per permettere al malware di criptare le macchine anche offline, nello stesso modo di quando sono connesse a Internet.

Inoltre, insieme al ransomware RAA, la vittima riceve anche il trojan Pony, che è in grado di rubare le password da tutti i client email, compresi quelli corporate, e le invia a un criminale che opera da remoto. Avere queste password significa che i cyber criminali possono potenzialmente diffondere il loro malware per conto degli utenti infettati, convincendo con più facilità la vittima successiva della legittimità dell’email. Dall’email aziendale della vittima, il malware può venire diffuso a tutta la sua lista di contatti, da cui i criminali possono anche selezionare i contatti di interesse e condurre attacchi mirati.

Per limitare il rischio d’infezione, le aziende dovrebbero seguire i seguenti consigli:

  • Usare tecnologie di protezione endpoint e soluzioni antivirus efficaci, assicurandosi che siano attivate tutte le “funzionalità euristiche”.
  • Educare gli impiegati dell’azienda a fare più attenzione.
  • Aggiornare sempre i software sulle macchine dell’azienda.
  • Condurre regolarmente verifiche di sicurezza.
  • Fare attenzione alle estensioni dei file prima di aprirli. Quelli potenzialmente pericolosi includono le estensioni: .exe, .hta, .wsf, .js, e così via.
  • Usare il senso comune e analizzare le email che provengono da mittenti sconosciuti.

Attualmente, il ransomware RAA viene diffuso tra gli utenti di lingua russa, come è dimostrato dalla nota per il riscatto in russo. Tuttavia, potrebbe non volerci molto prima che i suoi programmatori decidano di diffonderlo a livello globale.

Redazione BitMAThttps://www.bitmat.it/
BitMAT Edizioni è una casa editrice che ha sede a Milano con una copertura a 360° per quanto riguarda la comunicazione rivolta agli specialisti dell'lnformation & Communication Technology.
  • Newsletter

    Iscriviti alla Newsletter per ricevere gli aggiornamenti dai portali di BitMAT Edizioni.

  • I più letti

    Cybersecurity: non bastano competenze in campo IT

    Cybersecurity: non bastano competenze in campo IT

    La sicurezza informatica rappresenta una pratica a se stante dal punto di vista di responsabilità e gestione del rischio
    Scoperte nuove vulnerabilità della MFA del cloud Microsoft 365

    Scoperte nuove vulnerabilità della Multi Factor Autentication di Microsoft 365

    Gli aggressori possono bypassare l'autenticazione e accedere alle applicazioni cloud che utilizzano il protocollo
    Maxi Di sceglie le soluzioni SaaS di Blue Yonder

    Maxi Di sceglie le soluzioni SaaS di Blue Yonder

    Il passaggio a un percorso digitale permetterà di migliorare i servizi per rete distributiva e clienti
    Dispositivi mobile: il decalogo della sicurezza aziendale

    Dispositivi mobile: il decalogo della sicurezza aziendale

    Una violazione della sicurezza via mobile può avere un impatto devastante sull’intera infrastruttura IT
    L'importanza dei dati per le decisioni strategiche

    L’importanza dei dati per le decisioni strategiche

    L'automazione robotizzata dei processi (RPA) consente un'acquisizione rapida ed efficiente dei dati