News

Nuclear mobilitato per la distribuzione di CryptoWall 4.0

La versione più recente del famigerato malware crittografico denominato CryptoWall ha iniziato ad essere diffusa attraverso gli exploit pack. Nello scorso week-end, i ricercatori del centro SANS, specializzato nelle minacce Internet, hanno scoperto che gli “operatori” di Nuclear, i quali hanno registrato i propri domini presso BizCN, hanno aggiunto un nuovo “articolo” al proprio elenco di payload nocivi.

Nel blog post pubblicato martedì scorso, Brad Duncan, esperto di sicurezza IT presso Rackspace e, al contempo, collaboratore permanente di ISC SANS, ha fatto notare che, fino a poco tempo fa, CryptoWall 4.0 veniva principalmente distribuito sotto forma di allegato malevolo a messaggi di spam. È la prima volta in assoluto che il ricercatore rileva l’utilizzo dei kit di exploit per tale specifico scopo.

“La diffusione della versione 4.0, in sostituzione di CryptoWall 3.0, non costituisce motivo di particolare sorpresa, – ha dichiarato Brad Duncan ai redattori di Threatpost. – La stessa identica situazione si era presentata nel 2014, quando CryptoWall 2.0 aveva rimpiazzato il malware originale, CryptoWall. L’aggiornamento non era stato eseguito attraverso una singola azione: esso era in effetti iniziato tramite campagne di spam nocivo; successivamente, erano entrati in scena gli exploit pack. I malintenzionati che distribuiscono CryptoWall 4.0 hanno ugualmente iniziato ad avvalersi dei kit di exploit; questo non significa, tuttavia, che tutti gli exploit pack verranno impiegati contemporaneamente, per tale scopo. La diffusione dell’ultima versione del temibile programma ransomware vedrà inizialmente all’opera un primo kit di exploit; si uniranno, poi, a tale processo, un secondo e un terzo exploit pack, finché, ad un certo momento, tutti i kit esistenti verranno adibiti all’upload di CryptoWall 4.0 sui computer-vittima”.

Il gruppo criminale che utilizza i servizi del registrar cinese, ha di recente modificato gli indirizzi IP relativi ai domini gateway, i quali svolgono la funzione di intermediari tra i siti web compromessi che operano in veste di redirector ed i server che ospitano Nuclear. “Il server gateway riceve le informazioni riguardanti il sistema operativo e il tipo di browser in uso presso l’utente attraverso l’apposita stringa user agent presente nell’intestazione HTTP della richiesta inviata dalla potenziale vittima, – riferisce Brad Duncan illustrando lo schema dell’attacco via exploit. – La risposta fornita dal server gateway dipende proprio da tali dati. Se il sistema operativo risulta non essere Windows, il gateway BizCN restituisce l’errore 404 (in quanto non avrebbe alcun senso sprecare risorse nei confronti di un host che non possiede le vulnerabilità richieste). Se la stringa user agent indica, invece, che l’OS in questione è Windows, il server gateway restituisce 200 OK, ed indirizza il traffico verso il server malevolo che custodisce gli exploit”.

Nel proprio blog post, pubblicato sul sito web di ISC SANS, il ricercatore riporta alcuni esempi di modelli di URL individuati nel traffico inerente ai gateway BizCN, così come ulteriori indicatori di compromissione. Brad Duncan ipotizza, ugualmente, che i “padroni” di CryptoWall 4.0 non si limiteranno all’utilizzo del solo Nuclear, ma sfrutteranno altri exploit pack, in particolar modo Angler. Lo spam, da parte sua, verrà con ogni probabilità mantenuto, dai malintenzionati, in qualità di veicolo di distribuzione alternativo. “Non abbandoneranno di sicuro lo spam, – prevede l’esperto. – La diffusione di CryptoWall 4.0 attraverso i kit di exploit assumerà proporzioni sempre maggiori; i mailing di spam nocivo, tuttavia, non si interromperanno. Stiamo semplicemente assistendo alla sostituzione della versione 3 del malware con la versione più recente. Alcuni gruppi cybercriminali distribuiscono la 4.0 attraverso lo spam; altri, invece, utilizzano gli exploit pack”.

Duncan ha ugualmente posto in risalto alcuni dei tratti peculiari che contraddistinguono la nuova versione del cryptoblocker dalla release precedente. In particolare, nelle comunicazioni attraverso le quali si richiede il pagamento del riscatto, il nome del malware compare semplicemente come CryptoWall, senza il numero della relativa versione. Allo stesso modo, CryptoWall 4.0 non provvede a registrare l’indirizzo IP della vittima, come invece avveniva in precedenza: “Il traffico di rete generato da CryptoWall 4.0 risulta quasi identico a quello da noi osservato relativamente alla versione 3.0 del malware, ad eccezione del fatto che l’ultima release del ransomware non esegue l’abituale verifica dell’indirizzo IP. Al momento attuale, le firme di Snort, ottenute nel corso della connessione di CryptoWall 3.0 con i propri centri di comando e controllo, risultano valide anche per la versione 4.0 del temibile cryptoblocker”.

Fonte: https://threatpost.com/nuclear-exploit-kit-spreading-cryptowall-4-0-ransomware/115479/

Nuclear mobilitato per la distribuzione di CryptoWall 4.0

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *

 

Report

Evoluzione dei malware mobile – 2016

Ha continuato a crescere in maniera davvero sensibile, nel corso del 2016, il numero dei Trojan pubblicitari in grado di utilizzare i diritti di superutente. Si è trattato, lungo tutto l’arco dell’anno, della minaccia informatica numero 1; al momento attuale non scorgiamo, peraltro, validi motivi ed argomenti che lascino intravedere qualche cambiamento riguardo a tale specifica tendenza.

Lo spam nell’anno 2016

Nel 2016, all’interno dei flussi di spam, si sono verificati diversi cambiamenti; tra di essi, quello più significativo riguarda il sensibile aumento del numero di mailing di massa preposte alla distribuzione dei temibili programmi ransomware. Considerando l’effettiva disponibilità, sul mercato nero, di simili software nocivi, è presumibile che tale tendenza continui a manifestarsi anche nell’anno in corso.

Kaspersky Security Bulletin 2016. Rassegna annuale. Le statistiche dell’anno 2016

Il 2016 è stato, nell’ambito della cyber sicurezza, un anno davvero intenso e turbolento, caratterizzato da imponenti botnet IoT, ransomware, attacchi mirati di cyber spionaggio, ingenti furti nella sfera finanziaria, “hacktivismo” e molto altro ancora. Il Kaspersky Security Bulletin 2016 e il report Statistics di Kaspersky Lab forniscono un quadro dettagliato della situazione; qui, invece, si può leggere l’Executive Summary.

Kaspersky Security Bulletin 2016. La rivoluzione del ransomware

Tra gennaio e settembre 2016 gli attacchi ransomware diretti alle imprese sono aumentati di tre volte, fino all’equivalente di un attacco ogni 40 secondi. Con il boom del ransomware-as-a-service, ed il lancio del progetto NoMoreRansom, Kaspersky Lab ha definito il ransomware come il proprio “tema chiave” per il 2016.

Iscriviti alle nostre e-mail settimanali

La ricerca più all'avanguardia, direttamente nella tua inbox