News

Il ransomware Matrix si diffonde attraverso shortcut maligni

Dopo essere scomparso per qualche tempo dai radar, il ransomware Matrix è stato di nuovo individuato in una delle recenti campagne EITest. Brad Duncan, ricercatore specializzato in sicurezza IT, all’opera presso Palo Alto Networks, si è in effetti trovato di fronte ad un caso di diffusione di tale malware attraverso il famigerato exploit pack RIG. In precedenza, Matrix non poteva di certo essere paragonato, per velocità ed effettivo volume di distribuzione, a programmi ransomware quali Cerber e Spora. La specifica circostanza ha subito attirato l’attenzione dell’esperto, il quale ha analizzato in maniera ancor più approfondita il sample individuato, rilevando nello stesso un’indubbia capacità di auto-diffondersi.

Il nuovo Matrix è in grado di infettare altri computer, passando di macchina in macchina attraverso appositi shortcut maligni; inoltre, esso ha la capacità di caricare, sul server utilizzato per gestire l’attacco, tutte le informazioni statistiche riguardo alle tipologie di file progressivamente cifrate.

Il malware in questione si diffonde attraverso siti web compromessi, infettati dallo script EITest. Non appena viene effettuato, sul computer-vittima, il download dell’iframe di RIG, l’exploit pack cerca subito di sfruttare gli eventuali programmi vulnerabili individuati, allo scopo di realizzare l’installazione del ransomware Matrix.

Per diffondersi sugli altri computer presenti nella rete, Matrix, durante le operazioni di codifica dei file, nasconde una specifica cartella, creando poi uno shortcut caratterizzato dallo stesso identico nome; in seguito esso provvede a realizzare una copia del file eseguibile del ransomware, salvando poi la stessa, come <desktop.ini>, nella cartella originale, di fatto ormai nascosta.

Il malware, ad esempio, può nascondere la cartella “Documenti”, e creare poi il relativo shortcut. Supponiamo che l’utente, successivamente, apra tale folder e salvi, al suo interno, uno o più file di qualsiasi genere; la vittima non sospetterà nulla, in quanto tutto continuerà a funzionare regolarmente. Nel frattempo, Matrix copia in <%Temp%\OSw4Ptym.exe> il file <desktop.ini> – il quale, in realtà, è proprio il file eseguibile del ransomware – e ne avvia, in seguito, l’esecuzione. Il malware, in tal modo, può penetrare negli altri computer, sia attraverso i drive di rete, sia tramite eventuali unità rimovibili.

I ricercatori stanno ugualmente osservando come Matrix venga frequentemente aggiornato, e come ogni nuova versione presenti evidenti differenze, rispetto alle precedenti, a livello di caratteristiche possedute, differenze che possono ad esempio riguardare le estensioni dei file cifrati, gli indirizzi e-mail di contatto o i testi delle notifiche contenenti la richiesta di riscatto. Gli esperti ritengono che Matrix potrà essere sottoposto a vari cambiamenti anche nell’immediato futuro, visto che i volumi di distribuzione dello stesso si stanno amplificando.

Matrix è solito rivolgersi molto spesso al proprio server di comando e controllo, segnalando lo stato di avanzamento del processo di codifica. Il malware effettua l’upload, sul server C&C, delle statistiche relative ai tipi di file da esso cifrati, proprio come fa il ransomware Spora, e, a seconda delle diverse tipologie dei file sottoposti a codifica, avanza richieste diverse, per quel che riguarda l’entità del riscatto da pagare.

Matrix, inoltre, provvede ad eliminare Shadow Volume Copies, per escludere ogni possibilità di rollback delle modifiche effettuate, e di ripristino dello stato del sistema precedente all’infezione.

Attraverso il testo del messaggio che compare sullo schermo del computer-vittima nel momento in cui termina il processo di codifica, i malintenzionati comunicano poi, con tono minaccioso, che ogni 12 ore, relativamente al termine concesso per effettuare il pagamento, l’entità del riscatto crescerà, automaticamente, di 100 dollari $. Alla vittima vengono concesse, in totale, 96 ore, trascorse le quali si potrà concretizzare la minaccia di veder compromessi i propri file in maniera permanente.

Fonte: Threatpost

Il ransomware Matrix si diffonde attraverso shortcut maligni

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *

 

Report

Evoluzione dei malware mobile – 2016

Ha continuato a crescere in maniera davvero sensibile, nel corso del 2016, il numero dei Trojan pubblicitari in grado di utilizzare i diritti di superutente. Si è trattato, lungo tutto l’arco dell’anno, della minaccia informatica numero 1; al momento attuale non scorgiamo, peraltro, validi motivi ed argomenti che lascino intravedere qualche cambiamento riguardo a tale specifica tendenza.

Lo spam nell’anno 2016

Nel 2016, all’interno dei flussi di spam, si sono verificati diversi cambiamenti; tra di essi, quello più significativo riguarda il sensibile aumento del numero di mailing di massa preposte alla distribuzione dei temibili programmi ransomware. Considerando l’effettiva disponibilità, sul mercato nero, di simili software nocivi, è presumibile che tale tendenza continui a manifestarsi anche nell’anno in corso.

Kaspersky Security Bulletin 2016. Rassegna annuale. Le statistiche dell’anno 2016

Il 2016 è stato, nell’ambito della cyber sicurezza, un anno davvero intenso e turbolento, caratterizzato da imponenti botnet IoT, ransomware, attacchi mirati di cyber spionaggio, ingenti furti nella sfera finanziaria, “hacktivismo” e molto altro ancora. Il Kaspersky Security Bulletin 2016 e il report Statistics di Kaspersky Lab forniscono un quadro dettagliato della situazione; qui, invece, si può leggere l’Executive Summary.

Kaspersky Security Bulletin 2016. La rivoluzione del ransomware

Tra gennaio e settembre 2016 gli attacchi ransomware diretti alle imprese sono aumentati di tre volte, fino all’equivalente di un attacco ogni 40 secondi. Con il boom del ransomware-as-a-service, ed il lancio del progetto NoMoreRansom, Kaspersky Lab ha definito il ransomware come il proprio “tema chiave” per il 2016.

Iscriviti alle nostre e-mail settimanali

La ricerca più all'avanguardia, direttamente nella tua inbox