BETABOT – CERBER, ATTENZIONE, TANDEM ESPLOSIVO!

Betabot – Ceber : cos’è ?
Il cavallo di Troia BETABOT e il ransonware CERBER sono due attori ben conosciuti del panorama della cybercriminalità. Il primo si occupa di trafugare le password conservate sulle apparecchiature nelle quali si infiltra, Il secondo le infetta e cripta i dati che sono contenuti allo scopo di effettuare un’estorsione ai danni delle vittime.
La novità è la loro associazione che ha la finalità di accrescere l’efficacia delle campagne di attacchi condotte dai cybercriminali.
Al risultato della vendita delle password rubate sul dark net (in media 170€), si aggiunge il frutto del riscatto : 1 bitcoin (646€, valore variabile in base al tasso di cambio), soldi pagati in oltre un terzo dei casi in ambito business.

Come si sviluppa la contaminazione ?

A partire dal mese di Luglio numerose campagne di spam hanno infestato le caselle di posta delle messagerie professionali. I messaggi contengono in allegato un documento Word modificato che ospita del codice malevolo: CV, fatture, buoni di consegna … Il cavallo di troia si presenta sotto forme differenti al fine di aumentare il tasso di apertura degli allegati e, di conseguenza, attivare gli script che fanno partire download e instalazione di Betabot.
Una volta che le Password sono state trafugate, Il Betabot scarica ed esegue il ransomware Cerber. Quest’ultimo generalmente si attiva al riavvio della postazione e cripta l’insieme dei file trovati. Le vittime vengono dunque invitate, attraverso una finestra di dialogo, a pagare un bitcoin per ottenere la chiave di decriptaggio che permette loro di recuperare i file.

Cosa fare per premunirsi ?

– Non aprite mai i documenti allegati in un messaggio non richiesto da voi.
– Disattivate l’esecuzione automatica delle macro nei programmi office*
– Mantenete aggiornato il sistema operativo e l’antivirus delle postazioni di Lavoro
– Effettuate backup frequenti dei sistemi e dei dati (postazioni di lavoro, server ma anche pc portatili itineranti) e conservate almeno 3 versioni per ciascun documento salvato.
– Ricordatevi che gli hard disk esterni non sono dispositive di back affidabili, possono essere criptati dai ransoware.
Optate per un appliance di backup professionale.

* File / Opzioni / Centro protezione / Impostazioni centro protezione / Selezionare Disattiva tutte le macro con notifica

Cosa fare in caso di attacco ?
Se avete cliccato inconsapevolmente sul link di Betabot, è troppo tardi per evitare il furto delle password, vi raccomandiamo di spegnere immediatamente la postazione infettata e di scollegarla dalla rete .
L’obbiettivo è quello di bloccare il lavoro del parassita e se possibile la sua diffusione in rete o verso contatti della vostra e-mail.
Cercate ed eliminate tutti i messaggi simili dalle caselle e-mail della vostra rete.
Infine effettuate una reinstallazione completa della postazione infettata ed il restore dei file partendo da un backup proveniente da una fonte sicura.
Pensate anche a modificare tutte le vostre password per evitare l’utilizzo fraudolento da parte di utenti malintenzionati.
Se disponete di un Piano di Ripristino dell’attività, potrete recuperare tutti i vostri dati dopo una formattazione completa del vostro hard disk ed un restore completo del vostro backup.

Per maggiori info CONTATTATECI

Il Team Tec Italia e Wooxo

2017-12-11T15:08:22+00:00