Secondo le analisi di Sherrod DeGrippo, Senior Director of Threat Research di Proofpoint, il ransomware è tornato a colpire la scorsa settimana, anche in Italia, con una campagna basata su Avaddon

ransomware
ransomware

Nell’ultimo mese, i ricercatori di Proofpoint hanno osservato un leggero aumento degli attacchi via email che utilizzano il ransomware come payload di primo livello. Tutto ciò potrebbe annunciare il ritorno di grandi campagne, come accaduto nel 2018.

Si tratta di attacchi che hanno interessato varie categorie di ransomware e preso di mira diversi settori negli Stati Uniti, in Francia, Germania, Grecia e Italia, usando spesso esche e messaggi in lingua madre. Tra le famiglie individuate vi sono:

  • Avaddon (nuova famiglia)
  • Buran (che prende il nome dallo Space Shuttle russo)
  • Darkgate
  • Philadelphia (già individuato da Proofpoint in 2017)
  • Robot
  • Ranion

Tutti questi gruppi crittografano i file degli utenti e richiedono un riscatto. I volumi giornalieri variano da uno a ben 350.000 messaggi e più di un milione di questi, tra il 4 e il 10 giugno del 2020, includeva Avaddon. I settori presi di mira sono stati vari tra cui istruzione e manifatturiero, seguiti da trasporti, intrattenimento, tecnologia, sanità e telecomunicazioni.

Avaddon prende di mira l’Italia

I ricercatori Proofpoint hanno identificato, in particolare, una campagna basata sul ransomware Avaddon che ha preso di mira le aziende italiane nella settimana del 29 giugno 2020. Migliaia di messaggi di ingegneria sociale sono stati utilizzati per cercare di convincere gli utenti ad aprire documenti Microsoft Excel. Una volta abilitate le macro XL4, viene scaricato il ransomware Avaddon, che cripta i file e successivamente richiede un pagamento. Proofpoint ha impedito di compromettere i suoi clienti.