Iscriviti

Attenzione: Crypt0l0cker è tornato, colpisce in Italia, ed usa la PEC

La divisione antivirus della Microsoft sta segnalando, in queste ore, una recrudescenza degli attacchi informatici, nel nostro Paese, imputabili al ransomware Crypt0l0cker che, questa volta, agirebbe tramite il canale della posta certificata.

Internet e Social
Pubblicato il 3 marzo 2017, alle ore 11:31

Mi piace
13
0
Attenzione: Crypt0l0cker è tornato, colpisce in Italia, ed usa la PEC
Pubblicità

“Ma non dovevamo vederci più?”, il mitico adagio di Lucio Battisti – probabilmente – sarà venuto in mente a molti utenti italiani, in queste ore, vista la ricomparsa del temibile ransomware Crypt0l0cker che, questa volta, colpisce anche via PEC.

A segnalare la nuova campagna virale è il Microsoft Malware Protection Center, la divisione antivirus di Microsoft, che ha riscontrato, appunto, la comparsa – in tutt’Europa, con particolare concentrazione nel Bel Paese – dei nuovi attacchi imputabili a Crypt0l0cker.

La procedura di azione di Crypt0l0cker, questa volta, è ancora più subdola, in quanto gli hacker si sono avvalsi di caselle PEC compromesse, per veicolare mail certificate, con tanto di firma digitale valida ed autentica: il testo delle missive in questione, scritto con un italiano perfetto, e ritenuto valido in ragione dell’identificativo assimilabile a quello di un ente pubblico o notarile (es. posta-certificata@legalmail.it), parla di una fattura da scaricare (visto che non ne verrà spedito l’equivalente cartaceo) che, una volta stampata, avrà validità fiscale e, come tale, andrà usata e conservata. 

In realtà, spiegano i ricercatori Microsoft, ed i colleghi di Ransomware.it, una volta scompattato l’allegato ZIP incluso (es. “fattura_522628.zip), quel che si trova non è un file PDF ma un eseguibile javascript (es. fattura_522628.js) che, se cliccato (perché l’estensione era nascosta, o non vi si è badato), procederà a scaricare il vero ransomware che, dopo aver scansionato il PC, procederà a criptarne le directory, onde chiedere un riscatto. 

Purtroppo, al momento, è assai difficile contrastare quest’ondata virale, visto che il downloader del ransomware (il dropper in js) non viene segnalato dagli antivirus (in effetti, il codice malevolo viene scaricato da server remoti in un secondo momento), e la versione di Crypt0l0cker in azione è quella per la quale la security house “FireEye” non è ancora riuscita a sviluppare un “antidoto” idoneo ed efficace.

Per questo motivo, se si scarica la posta tramite un client, es. Thunderbird, è buona cosa attivare dei filtri che blocchino l’apertura degli allegati con estensione “.js” e “zip”, mentre – qualora si opti per un mailserver – è consigliabile che i filtri in oggetto siano attivati, se possibile, lato server. Anche il backup preventivo dei propri dati, eseguito con regolarità, è una buona consuetudine cautelativa: diversamente, in caso di infezione, o ci si dovrà rassegnare ad aver perso i propri dati, o si sarà costretti a pagare un riscatto, attraverso una connessione nel Deep Web, fissato in BitCoin ma corrispondente, col cambio attuale, a circa 399 euro

Video interessanti:
Cosa ne pensa l’autore

Fabrizio Ferrara - Ecco perché sono così pericolosi i furti di credenziali, di cui spesso parla la cronaca informatica: a volte, in questo modo, gli hacker entrano in possesso dei log-in anche di caselle certificate, e se ne avvalgono per diffondere virus che vengono "accettati", in quanto ritenuti provenienti da fonti sicure. Evidentemente, la campagna virale di cui parla l'articolo ha la finalità di colpire un preciso target, come quello dei professionisti, o delle aziende: soggetti che hanno molto da perdere nel sequestro dei propri dati, e che - sicuramente - opterebbero per il cedere al ricatto, pagando il riscatto. Attenzione, dunque, ai file che apriamo, ed eseguiamo sempre, e con regolarità, il backup delle informazioni importanti, sia che si tratti di lavoro, che di vita privata.

Lascia un tuo commento
Commenti
Claudio Bosisio

06 marzo 2017 - 00:31:53

Grazie per questo articolo e per l'avviso sui pericoli che ci sono oggi in rete!

0
Rispondi