attacchi ramsoware
Attacchi Ramsoware

 

Le attenzioni di tutto il mondo sono sulla crisi sanitaria derivante dal COVID-19, anche gli hacker stanno cercando di sfruttare questo trend. I laboratori di CyberArk hanno individuato addirittura un ransomware che sfrutta il nome Coronavirus o COVID-19.

Questo malware è un nuovo tipo di ransomware che infetta i pc a partire dal sito di phishing, WiseCleaner[.]best. Questo sito assomiglia al più famoso WiseCleaner.com, che fornisce una serie di system utility gratuite per Windows al fine di migliorare le performance del computer.

Come funziona?

Questo malware viene diffuso attraverso il download del file dannoso “WSHSetup.exe”. WSHSetup.exe è un Downloader, il primo stadio dell’infezione. Il file dannoso disponibile sul falso sito web scarica il KPot stealer – che si concentra sull’estrazione delle informazioni dell’account da browser web, app di messaggistica, e-mail, VPN, RDP, FTP, cripto valute e software di gioco – e scarica il ransomware Coronavirus

Il ransomware codifica i dati della vittima e richiede un riscatto a bassissimo prezzo (0,008BTC, circa 45 dollari), pratica atipica per questo tipo di operazioni.

Dopo aver criptato tutti i file, CoronaVirus si cancella da solo e riavvia la macchina. Per implementare alcune delle funzionalità ransomware, come la modifica della chiave di registro BootExcute e la ridenominazione del nome dell’unità (che vengono nominate Coronavirus), sono necessari privilegi elevati; pertanto, deve agire come amministratore.

Prevenzione

I laboratori di CyberArk hanno testato il ransomware contro l’Endpoint Privilege Manager. La buona notizia è che durante i test, la soluzione si è rivelata efficace al 100% nel prevenire la cifratura dei file da parte di questo malware. È inoltre importante sottolineare che questi attacchi si basano sul social engineering, per cui anche in questo caso si applica la tecnica di prevenzione di base. Evitare di cliccare su URL sconosciuti o di aprire allegati sospetti. Assicuratevi che ci siano dei backup e che i sistemi abbiano gli ultimi aggiornamenti di sicurezza.

Per ulteriori informazioni su come opera il ransomware CoronaVirus di seguito il blog di CyberArk

www.cyberark.com/threat-research-blog/coronavirus-ransomware/