News

Il ransomware TeslaCrypt ha iniziato ad essere distribuito attraverso lo spam

I ricercatori di Heimdal Security hanno rilevato la conduzione di una massiccia campagna di spam nocivo, volta a diffondere una nuova versione del temibile malware crittografico denominato TeslaCrypt. Come rileva Softpedia, i primi segnali relativi all’intensificazione dell’attività di TeslaCrypt (Trojan-Ransom.Win32.Bitman, secondo la classificazione di Kaspersky Lab) sono emersi nei forum allestiti da Bleeping Computer; qui, in effetti, gli utenti hanno iniziato a lamentare il verificarsi di nuove infezioni ad opera del ransomware in causa.

Le analisi condotte dagli esperti sul codice del malware hanno evidenziato cambiamenti di lieve entità rispetto alle versioni già conosciute del ransomware; le modifiche apportate dai virus writer si sono comunque rivelate più che sufficienti per far sì che agli utenti-vittima venisse in pratica impedito l’utilizzo di TeslaDecoder per decriptare i file compromessi.

Le e-mail di spam, elaborate in lingua inglese e provviste del consueto allegato nocivo, osservate già da alcuni giorni da Heimdal Security, utilizzano un tema ampiamente sfruttato dai malintenzionati; esse imitano, in pratica, le notifiche attraverso le quali viene richiesto il pagamento di fatture insolute. Per tale specifico motivo, i ricercatori hanno avanzato l’ipotesi che il target degli attaccanti sia principalmente rappresentato dagli utenti corporate, di sicuro più inclini ad aprire i file allegati a messaggi di posta elettronica riconducibili alla suddetta tematica.

Nella circostanza, l’archivio ZIP maligno allegato all’e-mail contiene un file in formato .js; l’analisi degli esperti di sicurezza IT ha evidenziato come, una volta eseguito, tale JavaScript avvii la connessione con il server C&C di comando e controllo, ed il conseguente download del componente principale del cryptoblocker. TeslaCrypt, una volta lanciato, provvede a codificare, così come in precedenza, i file dell’utente-vittima; il ransomware, inoltre, rinomina gli stessi ed assegna loro l’estensione aggiuntiva .vvv o .zzz. Allo stesso tempo, il malware elimina le copie shadow e, in ogni cartella contenente i file criptati, crea un file con le istruzioni per la successiva decodifica. Per il pagamento del riscatto (in bitcoin), l’utente viene indirizzato su una pagina web situata nella rete Tor.

Attualmente, la versione aggiornata di TeslaCrypt viene rilevata dai due terzi degli antivirus presenti nella “collezione” di VirusTotal. Il maggior numero di infezioni informatiche, nel quadro dell’attuale campagna di spam nocivo, è stato individuato, dagli esperti di Heimdal Security, nei paesi scandinavi.

È inoltre di particolare interesse osservare come, sinora, TeslaCrypt fosse stato prevalentemente diffuso attraverso gli exploit pack; negli ultimi tempi, il kit di exploit maggiormente utilizzato dai malintenzionati si è rivelato essere Neutrino. In generale, TeslaCrypt è, per il momento, un “progetto” meno redditizio rispetto ad altri cryptoblocker, decisamente più aggressivi. In effetti, secondo i dati di cui dispone FireEye, dal mese di febbraio al mese di aprile 2015, gli operatori di TeslaCrypt hanno ricevuto, dalle 163 vittime dell’infezione, poco più di 76.500 dollari USD; si tratta di una cifra che, per quanto significativa, non può essere di certo paragonata ai milioni di dollari che, ogni anno, riescono ad estorcere i cybercriminali che si celano dietro CryptoLocker, per non parlare, poi, dei lauti “profitti” che i malfattori ottengono per mezzo del famigerato Cryptowall.

Fonte: Softpedia

Il ransomware TeslaCrypt ha iniziato ad essere distribuito attraverso lo spam

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *

 

Report

Evoluzione dei malware mobile – 2016

Ha continuato a crescere in maniera davvero sensibile, nel corso del 2016, il numero dei Trojan pubblicitari in grado di utilizzare i diritti di superutente. Si è trattato, lungo tutto l’arco dell’anno, della minaccia informatica numero 1; al momento attuale non scorgiamo, peraltro, validi motivi ed argomenti che lascino intravedere qualche cambiamento riguardo a tale specifica tendenza.

Lo spam nell’anno 2016

Nel 2016, all’interno dei flussi di spam, si sono verificati diversi cambiamenti; tra di essi, quello più significativo riguarda il sensibile aumento del numero di mailing di massa preposte alla distribuzione dei temibili programmi ransomware. Considerando l’effettiva disponibilità, sul mercato nero, di simili software nocivi, è presumibile che tale tendenza continui a manifestarsi anche nell’anno in corso.

Kaspersky Security Bulletin 2016. Rassegna annuale. Le statistiche dell’anno 2016

Il 2016 è stato, nell’ambito della cyber sicurezza, un anno davvero intenso e turbolento, caratterizzato da imponenti botnet IoT, ransomware, attacchi mirati di cyber spionaggio, ingenti furti nella sfera finanziaria, “hacktivismo” e molto altro ancora. Il Kaspersky Security Bulletin 2016 e il report Statistics di Kaspersky Lab forniscono un quadro dettagliato della situazione; qui, invece, si può leggere l’Executive Summary.

Kaspersky Security Bulletin 2016. La rivoluzione del ransomware

Tra gennaio e settembre 2016 gli attacchi ransomware diretti alle imprese sono aumentati di tre volte, fino all’equivalente di un attacco ogni 40 secondi. Con il boom del ransomware-as-a-service, ed il lancio del progetto NoMoreRansom, Kaspersky Lab ha definito il ransomware come il proprio “tema chiave” per il 2016.

Iscriviti alle nostre e-mail settimanali

La ricerca più all'avanguardia, direttamente nella tua inbox