Un nuovo ceppo di ransomware è stato scoperto dai funzionari della sicurezza di Forcepoint, in Texas, che prende di mira le organizzazioni sanitarie. Il ransomware Philadelphia è della famiglia Stampado. Questo kit ransomware viene venduto online per poche centinaia di dollari e gli aggressori richiedono un riscatto sotto forma di Bitcoin.
I ricercatori hanno scoperto che il ransomware Philadelphia viene trasportato tramite e-mail di spear-phishing. Tali e-mail vengono inviate agli ospedali con il corpo del messaggio costituito da un URL abbreviato che indirizza verso uno spazio di archiviazione personale che serve un file DOCX armato con il logo dell'organizzazione sanitaria presa di mira. I dipendenti rimangono intrappolati e finiscono per fare clic su questi collegamenti che fanno infiltrare il ransomware nel sistema.
Fonte immagine: forcepoint.com
Una volta che il ransomware si stabilisce nel sistema, contatta il server C&C e trasferisce tutte le informazioni sul computer della vittima come sistema operativo, paese, lingua del sistema e nome utente della macchina. Il server C&C genera quindi un ID vittima, il prezzo del riscatto e l'ID del portafoglio Bitcoin e lo invia alla macchina presa di mira.
La tecnica di crittografia utilizzata da Philadelphia Ransomware è AES-256, che richiede un riscatto di 0,3 Bitcoin una volta finito di bloccare i file. Il suo interesse per il settore sanitario può essere osservato dal percorso della directory che mostra "hospital/spam" come stringa nel suo JavaScript crittografato insieme a "hospital/spa" contenuto nel percorso del server C&C.
Fonte immagine: funender.com
Cos'è Filadelfia:
Okay, tutti sanno che è la città più grande della Pennsylvania e bla bla bla... ma per quanto riguarda la criminalità informatica, si tratta anche di una versione aggiornata del famigerato virus di tipo ransomware Stampado. Nelle e-mail di phishing potresti imbatterti in falsi avvisi di pagamento in ritardo. Queste e-mail includono principalmente collegamenti ai siti Web di Filadelfia, che sono pronti con applicazioni Java per installare ransomware nel tuo sistema.
Vedi anche: I 5 migliori strumenti di protezione ransomware
Filadelfia inizia a crittografare i file con varie estensioni come .doc,.bmp, .avi, .7z, .pdf ecc., dopo un'intrusione riuscita nel sistema. Puoi identificare un file crittografato bloccato da Philadelphia con la sua estensione come ".locked". Ad esempio, un file nel tuo sistema con il nome "abc.bmp" verrebbe crittografato e rinominato come "KD24KIH83483BJAKDF8JDR7.locked". Una volta provato ad aprire l'encr ypted, il ransomware apre una nuova finestra con un messaggio di riscatto richiesto.
Il messaggio di riscatto ti informa che i file sono stati crittografati e devi pagarli per ripristinarli. Philadelphia utilizza un algoritmo di crittografia asimmetrica che crea chiavi pubbliche (crittografia) e private (decrittografia) durante la crittografia e il blocco dei file. Decifrare i file bloccati senza la chiave privata è come far bollire un oceano poiché si trovano su server remoti sorvegliati da criminali informatici.
La finestra contiene due timer interessanti: Deadline e Russian Roulette. Mentre il timer di scadenza indica il tempo rimanente per ottenere la tua chiave privata, la Roulette Russa mostra il tempo per eliminare il file successivo (spingendoti ad acquistarlo senza risparmiare tempo nella ricerca di aiuto). È davvero una minaccia, ma è l'unica cosa che non è falsa.
Fonte immagine: forbes.com
Puoi evitarla questa situazione?
Sì. Puoi evitare di essere colpito dal ransomware Philadelphia;, tuttavia, devi mantenere il tuo computer armato dei migliori anti-ransomware e antimalware. Tieni presente che alcuni ransomware potrebbero aggirare i migliori anti-ransomware, quindi la procedura migliore è diventare un utente vigile e non fare clic su nulla di insolito e sospetto.
Vedi anche: 5 suggerimenti principali per combattere il caos del ransomware
Tutto considerato, Philadelphia Ransomware può essere considerato un tipo di infezione penetrante. Sebbene ora abbia preso di mira solo le organizzazioni sanitarie, anche tu potresti esserne una vittima poiché il codice sorgente di questo virus è in vendita a $ 400 sul dark web. Qualsiasi aspirante criminale informatico può ottenere il codice e iniziare a cacciare una preda. Mantenere il computer immunizzato e protetto da antimalware e anti-ransomware dovrebbe aiutare.
leggi: 0
