Il ransomware TeslaCrypt ha iniziato ad essere distribuito attraverso lo spam

I ricercatori di Heimdal Security hanno rilevato la conduzione di una massiccia campagna di spam nocivo, volta a diffondere una nuova versione del temibile malware crittografico denominato TeslaCrypt. Come rileva Softpedia, i primi segnali relativi all’intensificazione dell’attività di TeslaCrypt (Trojan-Ransom.Win32.Bitman, secondo la classificazione di Kaspersky Lab) sono emersi nei forum allestiti da Bleeping Computer; qui, in effetti, gli utenti hanno iniziato a lamentare il verificarsi di nuove infezioni ad opera del ransomware in causa.

Le analisi condotte dagli esperti sul codice del malware hanno evidenziato cambiamenti di lieve entità rispetto alle versioni già conosciute del ransomware; le modifiche apportate dai virus writer si sono comunque rivelate più che sufficienti per far sì che agli utenti-vittima venisse in pratica impedito l’utilizzo di TeslaDecoder per decriptare i file compromessi.

Le e-mail di spam, elaborate in lingua inglese e provviste del consueto allegato nocivo, osservate già da alcuni giorni da Heimdal Security, utilizzano un tema ampiamente sfruttato dai malintenzionati; esse imitano, in pratica, le notifiche attraverso le quali viene richiesto il pagamento di fatture insolute. Per tale specifico motivo, i ricercatori hanno avanzato l’ipotesi che il target degli attaccanti sia principalmente rappresentato dagli utenti corporate, di sicuro più inclini ad aprire i file allegati a messaggi di posta elettronica riconducibili alla suddetta tematica.

Nella circostanza, l’archivio ZIP maligno allegato all’e-mail contiene un file in formato .js; l’analisi degli esperti di sicurezza IT ha evidenziato come, una volta eseguito, tale JavaScript avvii la connessione con il server C&C di comando e controllo, ed il conseguente download del componente principale del cryptoblocker. TeslaCrypt, una volta lanciato, provvede a codificare, così come in precedenza, i file dell’utente-vittima; il ransomware, inoltre, rinomina gli stessi ed assegna loro l’estensione aggiuntiva .vvv o .zzz. Allo stesso tempo, il malware elimina le copie shadow e, in ogni cartella contenente i file criptati, crea un file con le istruzioni per la successiva decodifica. Per il pagamento del riscatto (in bitcoin), l’utente viene indirizzato su una pagina web situata nella rete Tor.

Attualmente, la versione aggiornata di TeslaCrypt viene rilevata dai due terzi degli antivirus presenti nella “collezione” di VirusTotal. Il maggior numero di infezioni informatiche, nel quadro dell’attuale campagna di spam nocivo, è stato individuato, dagli esperti di Heimdal Security, nei paesi scandinavi.

È inoltre di particolare interesse osservare come, sinora, TeslaCrypt fosse stato prevalentemente diffuso attraverso gli exploit pack; negli ultimi tempi, il kit di exploit maggiormente utilizzato dai malintenzionati si è rivelato essere Neutrino. In generale, TeslaCrypt è, per il momento, un “progetto” meno redditizio rispetto ad altri cryptoblocker, decisamente più aggressivi. In effetti, secondo i dati di cui dispone FireEye, dal mese di febbraio al mese di aprile 2015, gli operatori di TeslaCrypt hanno ricevuto, dalle 163 vittime dell’infezione, poco più di 76.500 dollari USD; si tratta di una cifra che, per quanto significativa, non può essere di certo paragonata ai milioni di dollari che, ogni anno, riescono ad estorcere i cybercriminali che si celano dietro CryptoLocker, per non parlare, poi, dei lauti “profitti” che i malfattori ottengono per mezzo del famigerato Cryptowall.

Fonte: Softpedia

Post correlati

Lascia un commento

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *