Non conosce sosta l’azione dei criminali informatici che, anche nelle scorse ore, sono tornati a colpire gli utenti, con un temibile poker di attacchi hacker, in gran parte di tipo ransomware e, cioè, pronti a tenere in ostaggio i dati delle vittime prese di mira.
Nonostante si sia in una fase abbastanza tranquilla della pandemia, l’argomento coronavirus continua a interessare le persone. Gli hacker ne sono consapevoli e se ne stanno avvalendo, secondo gli esperti di Proofpoint, per veicolare il trojan ad accesso remoto (RAT, remote access trojan) Nerbian che, avvistato per la prima volta il 26 Aprile scorso, sta colpendo particolarmente gli utenti spagnoli, italiani e inglesi. Il suo propagarsi avviene mediante campagne di spam che veicolano mail attribuite presuntamente all’OMS, l’Organizzazione Mondiale della Sanità, che riguarderebbero delle nuove misure di sicurezza da quest’ultima disposte in merito al Covid-19.
L’utente inconsapevole del pericolo che dovesse cliccare sul millantato documento ufficiale in allegato, un file word manipolato, in realtà attiverà solo una catena di macro che porterà a installare Nerbian, con relative funzionalità di screenshot dello schermo e di keylogging, memorizzando cioè (in forma criptata) tutto quando dovesse essere digitato sulla propria tastiera. Il consiglio degli analisti di sicurezza, in questo caso, oltre ad avere un antivirus costantemente aggiornato sul proprio computer, è quello di tenere sempre disattivate le macro sui documenti di Office ricevuti.
Un’altra minaccia informatica è stata segnalata dal portable Bleeeping Computer, che riporta un alert della security house Avast. In questo caso si tratta del ritorno in campo del ransomware REvil, la cui infrastruttura sulla rete TOR avrebbe ripreso a funzionare: l’aggiornato malware, in virtù del campione analizzato, recherebbe il numero di release 1.0 ma, considerando anche la medesima richiesta di riscatto del predecessore, apparirebbe più che altro un aggiornamento della di lui release 2.08, con modifiche che permetterebbero di colpire particolari account.
Non meno preoccupante sarebbe l’allarme lanciato dall’azienda di sicurezza TrenMicro che, nello specifico, ha testimoniato il ritorno in campo del malware AvosLocker, tramite una variante molto sfuggente. Quest’ultima, penetrata sui sistemi delle vittime, installerebbe in locale AnyDeskMSI. uno strumento per di desktop remoto, che permetterebbe agli hacker di installare, dal proprio server di comando e controllo, altri strumenti, magari per scansionare la rete locale e disattivare le soluzioni di sicurezza ivi individuate.
Dal portale ZeusNews, infine, arriva la segnalazione di un’altra minaccia di tipo ransomware. Quest’ultima colpisce gli utenti che, nel cercare programmi piratati su siti ad hoc, procedono a scaricare alcuni file, con nomi simili a Security_Upgrade_Software_Win10.0.ms o Win10.0_System_Upgrade_Software.msi, che si fanno passare per aggiornamenti legittimi di Windows, anche se in realtà contengono il virus Magnifer.
Nel caso si fosse caduti nel tranello, questo malware procederebbe a cancellare le copie shadow nel computer, a crittografare i file (con annessa estensione di 8 caratteri sequenziati casualmente), e a depositare in ogni cartella un file d’istruzioni readme.html nel quale verrebbe spiegato che, per riavere i dati indietro, occorrerebbe pagare la bella cifra di circa 2.500 euro (in bitcoin 0,068). Ciò, però, solo nel caso si accettasse di pagare entro i primi 5 giorni dall’attacco: diversamente, la gabella da versare salirebbe a circa 5.000 euro (0,136 bitcoin). Ovviamente, quale forma di cautela in merito, gli esperti – in tal caso – raccomandano sempre di scaricare gli aggiornamenti per il PC dal Windows Update nelle impostazioni di sistema o, al massimo, dal sito ufficiale Microsoft Update Catalog,