venerdì 3 marzo 2017

ESET, ricompare il ransomware Cerber: target unico gli utenti italiani


Cerber è una minaccia di tipo Ransomware che viene distribuita attraverso exploit kit. Il virus utilizza diversi sistemi di crittografia per bloccare i file della vittima e chiedere un riscatto per la chiave di decrittazione. Secondo le telemetrie di ESET il ransomware, già venuto alla ribalta nell’estate del 2016, sta registrando in queste settimane un picco di infezioni in Italia, unica nazione colpita a livello mondiale. Si chiama Cerber il ransomware che sta dilagando in Italia, criptando file di varia natura su dischi fissi, removibili e di rete, chiedendo poi di seguire istruzioni particolari per decriptare i file.

Secondo la telemetria Live Grid® utilizzata dai ricercatori di ESET®, il più grande produttore di software per la sicurezza digitale dell’Unione europea, Cerber nell’ultimo mese ha registrato un’escalation di crescita che lo ha portato dallo 0 al 25% circa di prevalenza nel giro di poche settimane, con un trend ancora in aumento. Cerber si attesta al terzo posto delle minacce più diffuse in Italia nel mese di gennaio 2017, seguendo i temuti ScriptAttachment e Nemucod.Win32/Filecoder. Cerber viene distribuito attraverso un sistema di affiliazione, cioè a un programma che offre ai partecipanti i tool per lanciare gli attacchi, anche senza avere precise conoscenze tecniche.

Cerber.A, nome completo assegnato dai ricercatori di ESET al ransomware, utilizza diverse tecniche di infiltrazione per infettare i PC, come download guidati da siti infetti, allegati email, installazione tramite altri trojan o backdoor. I file presi di mira sono di varia natura e comprendono le estensioni più comuni, tra cui jpg, html, zip, java, mp3, mp4 e pdf. Cerber cripta il contenuto dei file utilizzando gli algoritmi RSA ed RC4, modificando l’estensione del file in .cerber. A seguito dell’infezione l’utente viene avvisato della presenza di Cerber tramite questo messaggio: “Attention! Attention! Attention! Your documents, photos, databases and other important files have been encrypted”.


Gli utenti possono decifrare i propri file solo con un decryptor sviluppato dai criminali informatici. Per scaricare il decrittatore, viene richiesto un pagamento in Bitcoin. Se il riscatto non viene pagato entro sette giorni, la somma richiesta viene raddoppiata. Si precisa inoltre che gli utenti possono pagare solo utilizzando il browser Tor e seguendo le istruzioni all’interno del sito web indicato. L’ultima versione di Cerber ha ricevuto alcuni importanti aggiornamenti per migliorare i tassi di infezione. I cambiamenti più evidenti includono l’utilizzo del colore rosso per lo sfondo del desktop. Cerber inoltre ha modificato il modo in cui viene diffuso ed anche alcuni elementi nelle attività post-infezione.

Cerber è un caso di come il malware in generale sta diventando sempre più più accessibile alle masse. Cerber è un tipo di “ransomware-as-a-service” (RaaS) che offre agli utenti la possibilità di personalizzare il proprio codice ed il riscatto in base alle proprie esigenze. Gli attaccanti acquistano la sua licenza d’uso, mentre gli autori del malware guadagnano delle commissioni per ogni riscatto pagato. Come tale, non esiste uno specifico attore che utilizza il ransomware, ma piuttosto diversi “affiliati” che  distribuisco la propria build in modi diversi. Per evitare il contagio i ricercatori di ESET raccomandano di usare attenzione e prudenza durante la navigazione online e nel leggere le email.

Ad esempio, mai cliccare in automatico su link, soprattutto se abbreviati (anche sui social media), scaricare file o aprire allegati email, anche se sembrano provenire da una fonte nota e attendibile, dotare il proprio dispositivo di un buon software per la sicurezza informatica. Si consiglia di creare una copia di backup dei dati su unità esterna e aggiornarla regolarmente. In caso d’infezione sarà possibile importare i dati dal dispositivo di backup. Si sconsiglia di mantenere le copie dei dati su cloud storage online, perché alcuni virus possono accedervi tramite la connessione internet. Per ulteriori informazioni su Cerber è possibile visitare la pagina del Virus Radar di ESET: http://www.virusradar.com/en/statistics#



Via: ESET Blog

Nessun commento:

Posta un commento