Tutto il mondo segue con attenzione la crisi sanitaria derivante dal COVID-19, e gli hacker non sono da meno, cercando di sfruttare il trend. I laboratori di CyberArk hanno individuato addirittura un ransomware che sfrutta il nome CoronaVirus o COVID-19.
Questo malware è un nuovo tipo di ransomware che infetta i pc a partire dal sito di phishing, WiseCleaner[.]best. Questo sito assomiglia al più famoso WiseCleaner.com, che fornisce una serie di system utiliy gratuite per Windows al fine di migliorare le performance del computer.
Come funziona?
Questo malware viene diffuso attraverso il download del file dannoso “WSHSetup.exe”. WSHSetup.exe è un Downloader, il primo stadio dell’infezione. Il file dannoso disponibile sul falso sito web scarica il KPot stealer – che si concentra sull’estrazione delle informazioni dell’account da browser web, app di messaggistica, e-mail, VPN, RDP, FTP, cripto valute e software di gioco – e scarica il ransomware Coronavirus.
Il ransomware codifica i dati della vittima e richiede un riscatto a bassissimo prezzo (0,008BTC, circa 45 dollari), pratica atipica per questo tipo di operazioni.
Dopo aver criptato tutti i file, CoronaVirus si cancella da solo e riavvia la macchina. Per implementare alcune delle funzionalità ransomware, come la modifica della chiave di registro BootExcute e la ridenominazione del nome dell’unità (che vengono nominate Coronavirus), sono necessari privilegi elevati; pertanto, deve agire come amministratore.
Prevenzione
I laboratori di CyberArk hanno testato il ransomware contro l’Endpoint Privilege Manager. La buona notizia è che durante i test, la soluzione si è rivelata efficace al 100% nel prevenire la cifratura dei file da parte di questo malware. È inoltre importante sottolineare che questi attacchi si basano sul social engineering, per cui anche in questo caso si applica la tecnica di prevenzione di base. Evitare di cliccare su URL sconosciuti o di aprire allegati sospetti. Assicuratevi che ci siano dei backup e che i sistemi abbiano gli ultimi aggiornamenti di sicurezza.
Per ulteriori informazioni su come opera il ransomware CoronaVirus consultare il blog di CyberArk.
