SPORA: L’ULTIMA FRONTIERA DEI RANSOMWARE

I ransomware hanno fatto notizia per tutto l’anno passato.

Alla luce dei primi giorni di gennaio non mancheranno di farlo anche nel 2017.
L’ondata di attacchi dannosi che si prevede sarà più sofisticata.

Per ora, una soluzione di backup professionale con piano di disaster recovery integrato è la migliore protezione contro questo flagello.

Come si presenta?

Le prime vittime di Spora hanno visto, loro malgrado, nei primi mesi di quest’anno, il livello di sofisticazione, sia tecnica che di marketing, che prefigura la nuova generazione di ransomwares.

Come si diffonde?

Il metodo attuale di distribuzione è tramite allegati di posta elettronica, contenuto in una e-mail di un fornitore di servizi,
ma non è da escludere che questo vettore sarà presto integrato ai siti web infetti o banner pubblicitari.
L’allegato, presumibilmente un PDF denominato “Fattura_« data »2017” è in realtà un file HTA nascosto da una doppia estensione.
Si tratta di un’applicazione basata su HTML.
Per la sua diffusione in Europa, il metodo sarà sicuramente modificato per impersonare fornitori conosciuti: operatori di telecomunicazione, pay tv, fornitori di servizi pubblici (acqua ed elettricità) …

Come funziona? Un esca per nascondere il ransomware

Cliccando sul file, la vittima crea inconsapevolmente un nuovo file chiamato close.js in una cartella temporanea che lancia uno script criptato all’interno dello stesso file, per poi esegue il file JScript.
Il ransomware a questo punto è crittografato e oscurato utilizzando algoritmi CryptoJS per non essere rilevato. Il JScript tenta quindi di aprire e gestire i due file prima di dare un’errore.
Il primo documento darà errore ad ogni tentativo di lettura, inducendo la vittima a credere che sia andato storto qualcosa nel download del file,
distogliendo l’attenzione dal secondo file che contiene il virus e dandogli quindi il tempo di criptare tutti i dati della vittima.
Spora è scritto in linguaggio C ed è compresso in un file (UPX) eseguibile. A differenza dei ransomwares storici, Spora non rinomina i file e le icone associate a qualsiasi estensione.
Quando il sistema è corrotto, la richiesta di riscatto appare in HTML. Attualmente è scritto in russo.
Cliccando sul pulsante più grande la vittima viene reindirizzata al sito web dei criminali informatici.

Un elevato livello di sofisticazione

La prima versione delle procedure di cifratura spora è eccellente, e quindi molto difficile da contrastare.
Il ransomware è autonomo. Per funzionare e crittografare i file in una macchina non ha bisogno di alcun collegamento o controllo server(che potrebbero fallire o essere fermato) e lavora dietro il firewall.
Una volta pagato il riscatto il decriptaggio dei file viene effettuato, ma non tramite la fornitura della chiave pubblica del criminale, in modo da non poter aiutare altre vittime.

Marketing attento per entrate ottimizzate

L’interfaccia non ha nulla da invidiare ai migliori siti commerciali.
Il valore nominale richiesta per il riscatto è relativamente bassa;
ma si tratta di una richiesta su vari livelli per i quali si pagherà un prezzo diverso: il ripristino dei file crittografati, eliminare il ransomware dal pc o escludersi dai destinatari di campagne future…
Un sistema di messaggistica permette di parlare con i rapitori, che sono abbastanza inclini a rivelare il livello di organizzazione di questo nuovo crimine informatico.

Una quantità variabile di riscatto e adattato a ciascun obiettivo

Spora ha introdotto un modello di prezzi unico per determinare quanto la vittima deve pagare in base alle caratteristiche delle campagne condotte e dei file infetti.
L’importo del riscatto è determinato sulla base dei dati statistici messi a disposizione del desiderosi di diffondere la comunità malware.
Tutto sembra infatti indicare che Spora si propone come RAAS ( “ransomware come servizio”) e distribuito sul modello di reti di affiliazione.

Cosa fare per proteggersi?

Installare o aggiornare un antivirus professionale.
Attivare un blocco pubblicità sulle workstation professionali.
Eseguire backup sani e frequenti dei sistemi di dati (workstation, server ma anche computer portatili in roaming) e mantenere un minimo di 3 versioni per ogni documento salvato.
Per informazione, gli hard disk esterni non sono dispositivi di backup affidabili, possono essere crittografati dai ransomwares.
Scegliete un dispositivo di backup professionnelle.

Cosa fare in caso di un attacco del genere?

Se pensate che il vostro lavoro sia infetto (messaggio di errore notepad cercando di aprire un allegato, avviso antivirus o comportamento anomalo),
immediatamente spegnere il computer e scollegarlo dalla rete.
Procedere a un ripristino completo della postazione da un’immagine di sistema precedente e dei dati da un backup in buona salute (prima della data di ricevimento del virus).
Cambiare più password possibili e scegliere password composte da un minimo di 8 caratteri (lettere, numeri e segni).
Avvertire le autorità.
Questi passaggi aiutano non solo ad arginare l’entità del danno, ma soprattutto per cancellare la vostra responsabilità per il potenziale utilizzo illecito dei vostri dati da parte di terzi.
Fare denuncia presso la polizia.

Per maggiori info CONTATTATECI

Il Team Tec Italia e Wooxo

2017-12-11T15:00:23+00:00