"Una singola email di spear-phishing contenente un malware leggermente modificato può aggirare soluzioni di sicurezza aziendali multimilionarie se un avversario induce con l'inganno un dipendente apatico dal punto di vista igienico informatico inducendolo ad aprire l'allegato o a fare clic su un collegamento dannoso, compromettendo così l'intera rete ."
James Scott, Senior Fellow, Institute for Critical Infrastructure Technology
La settimana scorsa, un ransomware chiamato Defray ha preso di mira un gruppo selezionato di organizzazioni d'élite chiedendo 5.000 dollari al momento dell'infezione. È un trojan codificatore di file scritto in C++ che utilizza un algoritmo crittografico avanzato.
Da leggere: Vari modi per proteggere il tuo PC dal ransomware
Il nome Defray si basa sull'host del server di comando e controllo nel primo attacco rintracciato: 'defrayable-listings'.
È conosciuto anche con un altro nome Glushkov Ransomware. Il nome potrebbe essere utilizzato come riferimento agli account di posta elettronica "[email protected]", "glushkov®tutanota.de" e "[email protected]" utilizzati per diffondere la minaccia e per contattare l'hacker.
Stava distribuendo due attacchi piccoli e selettivi ed è riconosciuto come una grande minaccia crittografica. la minaccia viene paragonata ai ceppi Petya e WannaCry.
Secondo i rapporti, la minaccia prende di mira principalmente la rete di ospedali e istituti scolastici e crittografa i dati.
I primi attacchi erano mirati a organizzazione sanitaria e educativa, mentre le altre hanno preso di mira le istituzioni manifatturiere e tecnologiche.
Come si sta diffondendo?
Img src: gbhackers
Il programma di installazione utilizzato per diffondere il malware utilizza un documento Word che contiene un clip video eseguibile incorporato (oggetto shell del packager O LE).
Quando il destinatario tenta di riprodurre il file incorporato video, che è un'immagine, Defray Ransomware viene installato e attivato. Dopo l'installazione, inizia a crittografare i dati e quindi visualizza una richiesta di riscatto, dichiarando che per riottenere l'accesso è necessario pagare un riscatto.
Le email di phishing e le email di spear phishing mirate vengono utilizzate per attirare i dipendenti dell'ufficio e sono poi costretti a farlo leggere il documento infetto. Le e-mail sono indirizzate a individui o gruppi e consistono in messaggi appositamente progettati per attirare gli obiettivi.
La prima volta la campagna ha avuto luogo il 15 agosto, rivolgendosi ai professionisti della produzione e della tecnologia. In continuazione, il 22 agosto, è stata lanciata un'altra campagna Sono stati lanciati e-mail falsi a organizzazioni sanitarie ed educative. Questa email conteneva il rapporto di un paziente di un presunto direttore della gestione delle informazioni e della tecnologia in un ospedale.
Img src: Proofpoint
Queste e-mail fasulle danno un invito aperto al malware e vengono installate sulle macchine. È come accogliere un vampiro in casa tua e poi permettergli di prendere il tuo sangue.
Da leggere: Cose da fare e da non fare quando si ha a che fare con il ransomware
Dopo tutto ciò, sul desktop viene visualizzata una richiesta di riscatto, alla vittima viene chiesto di pagare $ 5.000 sotto forma di Bitcoin.
La richiesta di riscatto può essere trovata in due file denominati "Files.TXT" e "HELP". TXXR' e conclude:
"Questo è un ransomware sviluppato su misura, il decrypter non sarà realizzato da un'azienda antivirus. Questo non ha nemmeno un nome. Utilizza AES-256 per crittografare i file, RSA-2048 per archiviare la password AES-256 crittografata e SHA-2 per mantenere l'integrità del file crittografato. È scritto in C++ e ha superato numerosi test di garanzia della qualità. Per evitare che ciò accada la prossima volta, utilizza i backup offline."
Fonte: tripwire
Defray Ransomware crittografa i file con le seguenti estensioni:
.001, .3ds, .7zip, .MDF, .NRG, .PBF, .SQLITE, .SQLITE2, .SQLITE3, .SQLITEDB, .SVG, .UIF, .WMF, .abr, .accdb, .afi, .arw , .asm, .bkf, .c4d, .cab, .cbm, .cbu, .class, .cls, .cpp, .cr2, .crw, .csh, .csv, .dat, .dbx, .dcr, . dgn, .djvu, .dng, .doc, .docm, .docx, .dwfx, .dwg, .dxf, .exe, .fla, .fpx, .gdb, .gho, .ghs, .hdd, .html, .iso, .iv2i, .java, .key, .lcf, .lnk, .matlab, .max, .mdb, .mdi, .mrbak, .mrimg, .mrw, .nef, .odg, .ofx, .orf , .ova, .ovf, .pbd, .pcd, .pdf, .php, .pps, .ppsx, .ppt, .pptx, .pqi, .prn, .psb, .psd, .pst, .ptx, . pvm, .pzl, .qfx, .qif, .r00, .raf, .rar, .raw, .reg, .rw2, .s3db, .skp, .spf, .spi, .sql, .sqlite-journal, . stl, .sup, .swift, .tib, .txf, .u3d, .v2i, .vcd, .vcf, .vdi, .vhd, .vmdk, .vmem, .vmwarevm, .vmx, .vsdx, .wallet, .win, .xls, .xlsm, .xlsx, .zip.
Fonte: enigmasoftware
Lettura successiva: Locky Ransomware 'Back from the Dead'
Tutti questi attacchi ransomware sono un allarme per rimanere protetti e consapevoli. Dovremmo evitare di aprire e-mail ricevute da fonti anonime e di cui non siamo sicuri. Non dovremmo aprire tutti gli allegati che riceviamo in un'e-mail. Anche dal punto di vista della sicurezza dovrebbe essere installato sul tuo m macchina.
leggi: 0
