News

Aggiornato il ransomware CryptXXX: potenzialità di guadagno ancora maggiori, per i cybercriminali

Il ransomware CryptXXX ha ricevuto un importante aggiornamento; il nuovo update sembra di fatto consegnare a questo temibile malware la palma del primato in termini di “redditività”, tra tutti i possibili concorrenti. Sino ad ora, il progetto criminale di maggior successo, in tal senso, era indubbiamente rappresentato dal famigerato malware crittografico Locky.

I ricercatori di Proofpoint hanno individuato la release 3.100 del cryptoblocker lo scorso 26 maggio; secondo gli esperti, CryptXXX ha acquisito un nuovo modulo StillerX, preposto al furto delle credenziali relative a varie applicazioni, dai client utilizzati nell’ambito dei casinò online alle VPN Cisco.

“CryptXXX si presenta, a tutti gli effetti, come il tema caldo del momento, – ha osservato, nel corso di un’intervista rilasciata a Threatpost, Kevin Epstein, Vice-presidente di Proofpoint e responsabile del Threat Operations Center allestito dalla società statunitense. – Con TeslaCrypt ormai fuori dai giochi, sembra proprio che sia comparso sulla scena del business ransomware un accanito rivale di Locky, in grado di competere con quest’ultimo per numero di infezioni realizzate e aggressività dimostrata nel processo di diffusione”.

Secondo quanto riferisce Epstein, la distribuzione del nuovo CryptXXX viene realizzata attraverso lo stesso identico gruppo cybercriminale che, ormai da diverso tempo, opera con successo con il noto exploit pack Angler. “È lecito attendersi che la superficie di attacco, per quel che riguarda CryptXXX, possa estendersi in maniera considerevole, – avverte l’esperto. – In base alle stime più prudenti, essi potranno procurare circa 50.000 infezioni al giorno, da parte di CryptXXX; gli introiti quotidiani realizzati dai criminali estorsori saliranno, così, fino a 100-200.000 dollari”.

Le modalità adottate per la distribuzione di CryptXXX risultano tuttavia diverse dal metodo abitualmente impiegato dai malintenzionati per ottenere la diffusione di Locky: quest’ultimo, come è noto, viene spesso recapitato attraverso appositi mailing di spam nocivo, provenienti dalle botnet Dridex. Gli operatori di CryptXXX, da parte loro, preferiscono avvalersi del redirecting degli utenti-vittima verso le pagine web malevole contenenti gli exploit.

CryptXXX 3.100 ricerca i file target, destinati alla codifica, non solo sui dischi locali e sulle unità rimovibili; il ransomware qui analizzato, in effetti, scansiona ugualmente la porta 445 del gateway di rete (utilizzata per le connessioni client-server nell’ambito delle reti locali, in base al protocollo SMB), allo scopo di individuare “le risorse condivise in rete, “contare” i file presenti in ogni directory comune, e cifrare poi, progressivamente, i target specifici, uno per uno”, si legge in un blog post pubblicato di recente sul sito web di Proofpoint.

Con la release della versione 3.100, i malintenzionati hanno anche provveduto ad aggiornare il portale Internet di riferimento, da essi utilizzato per la gestione dei pagamenti. Le modifiche introdotte hanno riguardato, in particolar modo, l’interfaccia GUI e le funzioni correlate al blocco dello schermo. “CryptXXX si caratterizza per la grande rapidità dei suoi cicli di sviluppo”, – afferma Epstein.

Questo cryptoblocker è apparso per la prima volta sui radar di Proofpoint il 15 aprile scorso, ed ha subito evidenziato una costante crescita in termini di “popolazione”, ovvero di infezioni realizzate. L’espansione iniziale è andata poi attenuandosi con l’apparizione del relativo decryptor, che Kaspersky Lab ha provveduto ad aggiungere alla propria utility RannohDecryptor lo scorso 26 aprile.

In base alla descrizione di RannohDecryptor presente sul sito web della società specializzata in sicurezza IT – nella sezione dedicata al supporto tecnico – l’utility in questione funziona perfettamente nei confronti delle prime due versioni di CryptXXX; la terza versione del ransomware, invece, viene sì riconosciuta dal tool, ma quest’ultimo non è in grado di decodificare i file precedentemente criptati. Ne consegue, quindi, che RannohDecryptor, per il momento, non può risultare di aiuto per quel che riguarda, ovviamente, i file cifrati da CryptXXX 3.100.

Il suddetto blocker si rivela particolarmente pericoloso non solo per il fatto che codifica i file (aggiungendo l’estensione .crypt); esso, in effetti, provvede anche a copiare gli stessi, innalzando sensibilmente i rischi correlati al furto di identità. CryptXXX, inoltre, è in grado di realizzare il furto dei bitcoin custoditi sul disco locale.

Fonte: Threatpost

Aggiornato il ransomware CryptXXX: potenzialità di guadagno ancora maggiori, per i cybercriminali

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *

 

Report

Evoluzione dei malware mobile – 2016

Ha continuato a crescere in maniera davvero sensibile, nel corso del 2016, il numero dei Trojan pubblicitari in grado di utilizzare i diritti di superutente. Si è trattato, lungo tutto l’arco dell’anno, della minaccia informatica numero 1; al momento attuale non scorgiamo, peraltro, validi motivi ed argomenti che lascino intravedere qualche cambiamento riguardo a tale specifica tendenza.

Lo spam nell’anno 2016

Nel 2016, all’interno dei flussi di spam, si sono verificati diversi cambiamenti; tra di essi, quello più significativo riguarda il sensibile aumento del numero di mailing di massa preposte alla distribuzione dei temibili programmi ransomware. Considerando l’effettiva disponibilità, sul mercato nero, di simili software nocivi, è presumibile che tale tendenza continui a manifestarsi anche nell’anno in corso.

Kaspersky Security Bulletin 2016. Rassegna annuale. Le statistiche dell’anno 2016

Il 2016 è stato, nell’ambito della cyber sicurezza, un anno davvero intenso e turbolento, caratterizzato da imponenti botnet IoT, ransomware, attacchi mirati di cyber spionaggio, ingenti furti nella sfera finanziaria, “hacktivismo” e molto altro ancora. Il Kaspersky Security Bulletin 2016 e il report Statistics di Kaspersky Lab forniscono un quadro dettagliato della situazione; qui, invece, si può leggere l’Executive Summary.

Kaspersky Security Bulletin 2016. La rivoluzione del ransomware

Tra gennaio e settembre 2016 gli attacchi ransomware diretti alle imprese sono aumentati di tre volte, fino all’equivalente di un attacco ogni 40 secondi. Con il boom del ransomware-as-a-service, ed il lancio del progetto NoMoreRansom, Kaspersky Lab ha definito il ransomware come il proprio “tema chiave” per il 2016.

Iscriviti alle nostre e-mail settimanali

La ricerca più all'avanguardia, direttamente nella tua inbox