La scorsa settimana è stato registrato un picco nel numero di infezioni di ransomware nel nostro Paese, in particolare è aumentato in numero significativo il numero di utenti che sono stati infettati dal temuto Teslacrypt ransomware. Molti, aggiungo troppi, si sono risvegliati trovando i documenti e le immagini sul proprio PC con una strana estensione .Micro.
L’effetto tecnico è l’impossibilità di aprire tali file che sono stati cifrati dal temuto ransomware. Se siete tra le sfortunate vittime dell’attacco, sbirciando qua e là sul PC avrete trovato in ciascuna cartella alcuni documenti di testo e HTML che vi informano che il vostro PC è stato infettato dal ransomware Teslacrypt e vi forniscono istruzioni sul pagamento del riscatto, circa 500 euro in Bitcoin che aumentano col trascorrere del tempo.
L’improvviso aumento dei casi di infezione non è passata inosservata alle principali aziende di sicurezza, io stesso ho fornito supporto per arginare l’infezione in organizzazioni da cui sono stato contattato. Ma gli esperti dell’azienda di Heimdal Security già avevano notato dei giorni scorsi un aumento del numero di siti web compromessi basati sul popolare CMS WordPress. La medesima campagna era stata individuata anche dagli esperti della azienda di sicurezza Sucuri. Proprio questi siti compromessi sono all’origine del problema, o almeno hanno contribuito all’amplificazione degli effetti.
Gli esperti hanno infatti constatato che questi siti sono stati compromessi per ospitare il popolare Nuclear Exploit Kit. Per coloro che non lo ricordassero, gli exploit kit sono pacchetti software in grado di sfruttare le falle in popolari applicazioni, come Adobe o Internet Explorer, per infettare i computer dei visitatori del sito che li ospitano.
La recente ondata di infezioni Teslacrypt sembra aver sfruttato una falla non ancora identificata attraverso l’uso un codice JavaScript opportunamente offuscato. Tale codice dirige i visitatori dei siti infetti ad un dominio (chrenovuihren[.]com) usato per il pericoloso malware.
Non è la prima volta che Nuclear Exploit kit è utilizzato per diffondere ransomware tanto che lo scorso novembre lo stesso è stato utilizzato per diffondere il ransomware CryptoWall 4.0, ed ancor prima gruppi criminali lo avevano usato per servire istanze del suo predecessore CryptoWall 3.0.
I ricercatori della Heimdal Security hanno identificato tre indirizzi IP di macchine che operavano da gateway per il Nuclear Exploit kit:
- 159,203.24 [.] 40
- 164,132.80 [.] 71
- 162,243.77 [.] 214
I domini utilizzati per diffondere Teslacrypt sono sottodomini del sito chrenovuihren[.]com, gli esperti ad oggi hanno già bloccato più di 85 domini che vengono utilizzati attivamente in questa campagna, e tale numero è destinato ad aumentare rapidamente.
La brutta notizia è che tale minaccia è ancora scarsamente individuata dai principali sistemi antivirus, pensate che a stamane solo 2 su 66 antivirus in commercio presenti su VirusTotal sono in grado di individuare il malware.
Se siete amministratori di un sito web basato su WordPress vi consiglio di effettuare ulteriori controlli per individuare indicatori di compromissione che sono descritti dalle aziende che vi ho citato, mentre suggerisco a tutti gli utenti di:
- Mantenere il software e il sistema operativo aggiornato all’ultima versione.
- Effettuare un backup dei dati di frequente e se possibile dislocare il backup su archivi separati in reti e macchine differenti.
- Utilizzare uno sistema di sicurezza in grado di filtrare il traffico web e proteggervi contro questa tipologie di minacce, che purtroppo sembrano essere in grado di bypassare i normali antivirus.
- Gli attacchi partono quasi sempre da email contenenti link sospetti o allegati malevoli (archivi .zip oppure documenti Office che vi richiedono di abilitare le macro per una corretta visualizzazione del contenuto). Diffidate da mail non sollecitate anche se provenienti da una fonte fidata che potrebbe essere stata infettata a sua volta.
Facebook Comments