La “Spora” dannosa che si sta spargendo in tutto il mondo

Nell’ambito di alcune campagne malevole condotte su scala internazionale è stata rilevata la presenza di un ransomware “di prima categoria”, comparso di recente, che ha stupito i ricercatori sia per l’interfaccia particolarmente accurata utilizzata nelle operazioni di pagamento del riscatto, sia per le performance di elevato livello da esso fornite. Il malware, in precedenza destinato esclusivamente a potenziali vittime di lingua russa, ha già attaccato utenti situati sul territorio di Arabia Saudita, Austria e Paesi Bassi.

Soltanto un paio di settimane fa, Spora era solito introdursi nei sistemi informatici delle vittime attraverso messaggi di spam nocivo elaborati in russo; adesso, il malware in questione viene diffuso anche attraverso gli exploit pack, ed in particolar modo tramite RIG-v. Quest’ultimo si è reso ugualmente responsabile del rapido propagarsi delle ultime campagne ransomware condotte attraverso i famigerati Cerber, Locky e Sage.

Il server malevolo dal quale vengono distribuiti tali ransomware è di fatto coinvolto anche nei due schemi paralleli utilizzati per la diffusione di Spora. Gli esperti di Emsisoft ritengono che la presenza del parametro “Campaign ID” possa indicare come le persone nascoste dietro tali attacchi stiano monitorando l’efficacia di due diverse campagne di spam, oppure che si tratti, invece, di un preciso segnale riguardo al fatto che Spora viene contemporaneamente utilizzato da due gruppi diversi, i quali prendono in affitto il malware presso i creatori dello stesso. E sebbene non sia ancora del tutto chiaro se gli autori di Spora abbiano deciso o meno di adottare il modello Ransom-as-a-Service, il malware in causa sta già divenendo, indubbiamente, una minaccia globale.

Spora impressiona, davvero, per il proprio grado di “maturità”: questo ransomware si avvale di una crittografia particolarmente solida, e di messaggi e-mail fasulli che appaiono, a prima vista, decisamente attendibili; inoltre, esso è in grado di operare senza connessione ad Internet. Spora dispone, per di più, di una robusta infrastruttura: il servizio utilizzato per il pagamento del riscatto, ad esempio, non è affatto inferiore, in termini di usabilità, a molti siti di e-commerce del tutto legittimi.

Gli utenti-vittima possono di fatto usufruire, sull’apposito portale, di varie opzioni: decodificare gratuitamente un paio di file; decifrare tutti i file; acquistare una sorta di “immunità” nei confronti di eventuali successive infezioni causate da Spora; rimuovere dal proprio computer, una volta eseguita la decodifica, tutti i file di cui si compone il malware, oppure ripristinare un determinato file. Tutte le opzioni risultano accessibili tramite un dashboard realizzato in maniera particolarmente accurata, il quale mostra, tra le altre cose, quanto tempo rimane prima della scadenza del termine ultimo previsto per il pagamento.

La presenza di un simile menu, e l’approccio “modulare” riguardo al pagamento del riscatto, rappresentano indubbiamente un’assoluta novità, nel mondo della cyber-estorsione. Tutti i pagamenti vengono effettuati in bitcoin; inoltre, il relativo wallet (portafoglio virtuale) viene di fatto collegato all’account della vittima presente sul portale utilizzato per tale ransomware. Per garantire la “sicurezza” dei pagamenti eseguiti, il sito dispone addirittura di un certificato SSL legittimo, emesso da Comodo.

Fonte: Threatpost

Post correlati

Lascia un commento

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *