Attacchi informatici: Quando il tuo computer è "o'zapft is" (toccato)
Sembra perfido, ma i criminali informatici e gli hacker stanno prendendo sempre più di mira gli ospedali dell'Europa centrale, i rivenditori e altri settori specifici delle PMI, come evidenzia un caso di studio di proofpoint.com. Gli hacker non solo stanno paralizzando gli ospedali in certi momenti, ma sembra che stiano intercettando i computer rilevanti in certi eventi sociali.
Lista di controllo
Indipendentemente dalla loro posizione geografica, le aziende e gli individui possono prendere varie misure per prevenire infezioni e perdite finanziarie:
1. essere vigili quando si leggono messaggi di posta elettronica che contengono link o allegati.
La maggior parte delle campagne qui descritte si sono basate sull'ingegneria sociale per ingannare gli utenti a infettarsi con il malware, anche se i loro sistemi avrebbero probabilmente mostrato avvisi di sicurezza mentre o prima di aprire i file dannosi.
Non attivare mai le macro nei documenti ricevuti per e-mail.
Non eseguite mai gli eseguibili collegati a un messaggio di posta elettronica a meno che non siate assolutamente sicuri che il messaggio sia autentico. Fate backup regolari e frequenti che possono essere ripristinati invece di pagare un riscatto per sbloccare i dati criptati.
3. le aziende dovrebbero anche investire in tecnologie di sicurezza appropriate per proteggere i loro dipendenti.
Le PMI sono particolarmente a rischio perché i loro dati bancari sono spesso forniti in account di posta elettronica privati e quindi rappresentano un obiettivo prioritario per gli attaccanti. Le PMI hanno anche più da perdere in un attacco ransomware. Tuttavia, un numero maggiore di dipendenti aumenta le possibilità di un'infezione di successo.
Il ransomware è ormai diventato un'industria illegale ma multimilionaria. Recentemente, l'Europa centrale è diventata l'obiettivo di una delle più forti varianti di ransomware, nonché di una insolita. All'inizio di quest'anno, per esempio, diversi ospedali in Germania sono stati costretti a rinviare le operazioni e a spegnere una serie di dispositivi connessi quando sono stati colpiti da un ransomware.
Come per i trojan bancari, le perdite sono molto più alte dei costi diretti del pagamento di un riscatto o della pulizia dei virus informatici. Una panoramica attuale.
Ransomware Petya
Anche se non è così noto come i suoi famosi cugini ransomware - che si tratti di Locky, Cerber, CryptXXX o Cryptowall - la famiglia di ransomware Petya ha recentemente attirato l'attenzione con la sua area target dell'Europa centrale e orientale. In Germania, il ransomware Petya è stato stranamente osservato solo in attacchi emulativi poco convinti.
Il ransomware Petya non cripta i file individualmente come molte altre varianti di ransomware. Invece, usa un boot loader speciale e un kernel molto piccolo (sistema operativo) per iniettare e criptare la tabella dei file master sul disco rigido. La routine di scrittura di Petya sovrascrive effettivamente il master boot record con il proprio kernel.
I sistemi infetti vengono poi riavviati e gli utenti ottengono pagine di schermo come quella mostrata nell'immagine.
Ransomware Locky
Locky sta circolando dal febbraio 2016, per lo più come campagne email false e di grande volume. In essi viene portato il ransomware Locky, associato agli attori della minaccia Dridex. Nel terzo trimestre del 2016, i messaggi e-mail distribuiti hanno rappresentato più di 95% dei volumi di e-mail dannose globali monitorati da Proofpoint.
Per esempio, la seguente e-mail neutrale è stata inviata con tale ransomware: Service@kids-party-world.de con l'oggetto "Il tuo ordine sta arrivando a te! - "OrderID 654321" e l'allegato "invoice_12345.zip" (entrambi con numeri casuali) sono stati allegati all'e-mail.
Allo stesso modo, un "John.doe123@[dominio casuale]" (nome casuale, 1-3 cifre) con l'oggetto "Emailing: _12345_123456" (numeri casuali) e allegato corrispondente "_12345_123456.zip" continua a spuntare! - Gli allegati contaminati erano archivi .zip con JavaScript (in file WSF o HTA) che, quando eseguiti, scaricano il ransomware Locky.
Riassunto
Sebbene l'Europa sia attualmente alle prese con le continue pressioni finanziarie, la relativa prosperità e il buon clima economico delle regioni di lingua tedesca spiegano i recenti aumenti del volume e della diversità del malware, in particolare in Germania e Svizzera. proofpoint.com ha osservato qui attacchi via e-mail con la distribuzione di messaggi tedeschi e documenti esca su diverse famiglie di ransomware e Trojan bancari, comprese varianti come Petya (così come campagne personalizzate per Trojan bancari come Ursnif e Dridex) che sono rare altrove.
