Security Notes

E’ emergenza: in rapido aumento i casi di infezione da ransomware Teslacrypt 3.0

Cybersecurity

La scorsa settimana è stato registrato un picco nel numero di infezioni di nel nostro Paese, in particolare è aumentato in numero significativo il numero di utenti che sono stati infettati dal temuto Teslacrypt . Molti, aggiungo troppi, si sono risvegliati trovando i documenti e le immagini sul proprio PC con una strana estensione .Micro.

L’effetto tecnico è l’impossibilità di aprire tali file che sono stati cifrati dal temuto ransomware. Se siete tra le sfortunate vittime dell’attacco, sbirciando qua e là sul PC avrete trovato in ciascuna cartella alcuni documenti di testo e HTML che vi informano che il vostro PC è stato infettato dal ransomware Teslacrypt e vi forniscono istruzioni sul pagamento del riscatto, circa 500 euro in Bitcoin che aumentano col trascorrere del tempo.

L’improvviso aumento dei casi di infezione non è passata inosservata alle principali aziende di , io stesso ho fornito supporto per arginare l’infezione in organizzazioni da cui sono stato contattato. Ma gli esperti dell’azienda di Heimdal Security già avevano notato dei giorni scorsi un aumento del numero di siti web compromessi basati sul popolare CMS WordPress. La medesima campagna era stata individuata anche dagli esperti della azienda di sicurezza Sucuri. Proprio questi siti compromessi sono all’origine del problema, o almeno hanno contribuito all’amplificazione degli effetti.

Gli esperti hanno infatti constatato che questi siti sono stati compromessi per ospitare il popolare Nuclear Exploit Kit. Per coloro che non lo ricordassero, gli exploit kit sono pacchetti software in grado di sfruttare le falle in popolari applicazioni, come Adobe o Internet Explorer, per infettare i computer dei visitatori del sito che li ospitano.

La recente ondata di infezioni Teslacrypt sembra aver sfruttato una falla non ancora identificata attraverso l’uso un codice JavaScript opportunamente offuscato. Tale codice dirige i visitatori dei siti infetti ad un dominio (chrenovuihren[.]com) usato per il pericoloso malware.

Ransomware

Non è la prima volta che Nuclear Exploit kit è utilizzato per diffondere ransomware tanto che lo scorso novembre lo stesso è stato utilizzato per diffondere il ransomware  CryptoWall 4.0, ed ancor prima gruppi criminali lo avevano usato per servire istanze del suo predecessore CryptoWall 3.0.

I ricercatori della Heimdal Security hanno identificato tre indirizzi IP di macchine che operavano da gateway per il Nuclear Exploit kit:

  • 159,203.24 [.] 40
  • 164,132.80 [.] 71
  • 162,243.77 [.] 214

I domini utilizzati per diffondere Teslacrypt sono sottodomini del sito chrenovuihren[.]com, gli esperti ad oggi hanno già bloccato più di 85 domini che vengono utilizzati attivamente in questa campagna, e tale numero è destinato ad aumentare rapidamente.

La brutta notizia è che tale minaccia è ancora scarsamente individuata dai principali sistemi antivirus, pensate che a stamane solo 2 su 66 antivirus in commercio presenti su VirusTotal sono in grado di individuare il malware.

Se siete amministratori di un sito web basato su WordPress vi consiglio di effettuare ulteriori controlli per individuare indicatori di compromissione che sono descritti dalle aziende che vi ho citato, mentre suggerisco a tutti gli utenti di:

  • Mantenere il software e il sistema operativo aggiornato all’ultima versione.
  • Effettuare un backup dei dati di frequente e se possibile dislocare il backup su archivi separati in reti e macchine differenti.
  • Utilizzare uno sistema di sicurezza in grado di filtrare il traffico web e proteggervi contro questa tipologie di minacce, che purtroppo sembrano essere in grado di bypassare i normali antivirus.
  • Gli attacchi partono quasi sempre da email contenenti link sospetti o allegati malevoli (archivi .zip oppure documenti Office che vi richiedono di abilitare le macro per una corretta visualizzazione del contenuto). Diffidate da mail non sollecitate anche se provenienti da una fonte fidata che potrebbe essere stata infettata a sua volta.

 

Pierluigi Paganini

Pierluigi Paganini è Chief Information Security Officer presso Bit4Id, un’azienda leader nella fornitura di soluzioni per l’Identity Management basate su infrastrutture PKI. Ricopre anche il ruolo di capo editore per la nota rivista statunitense Cyber Defense Magazine e vanta una esperienza di oltre venti anni nel settore della cyber security.
La passione per la scrittura e la forte convinzione che la sicurezza sia una materia che la conoscenza sulla Cyber Security vada condivisa lo ha spinto a fondare il blog
Security Affairs, recentemente insignito del titolo di “Top National Security Resource for US.”
E’ membro dei gruppi di lavoro del portale “The Hacker News” e dell’ ICTTF International Cyber Threat Task Force, è inoltre autore di numerosi articoli pubblicati sulle principali testare in materia sicurezza quali Cyber War Zone, ICTTF, Infosec Island, Infosec Institute, The Hacker News Magazine e molte altre riviste.
E’ membro del gruppo Threat Landscape Stakeholder Group dell’agenzia ENISA (European Union Agency for Network and Information Security).
Ha pubblicato due libri “The Deep Dark Web” e “Digital Virtual Currency and Bitcoin” rispettivamente sulla tematiche inerenti Deep Web ed i sistemi di moneta virtuali.

Facebook Twitter Google+ 

Clicca per commentare

Commenti e reazioni su:

Loading Facebook Comments ...

Lascia una replica

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *

No Trackbacks.

TechEconomy è il portale di informazione dedicato a manager, imprenditori e professionisti che vogliono approfondire e comprendere l’impatto delle tecnologie nello sviluppo del business nelle PMI come nell’industria, nella finanza, nei servizi.
Si rivolge insomma a tutti coloro che vogliono capire come le nuove realtà dell'Information Technology - Web 2.0, e-Business, net economy - stiano cambiando l’economia, e con essa la società.
Inizio
Shares
Share This