Report 3° trimestre sulle minacce informatiche: i ransomware 
- LUNEDÌ 4 DICEMBRE 2017.
Nel terzo trimestre del 2017 abbiamo individuato oltre 199 milioni di malware sui sistemi degli utenti Quick Heal: la maggior parte di queste individuazioni risalgono al mese di Luglio. Rispetto al trimestre scorso il numero delle rilevazioni è sceso dell'11%. Purtroppo però non sarebbe corretto pensare ad una tregua: i ransomware hanno continuato incessantemente a colpire gli utenti in tutto il mondo. I Lab di sicurezza Quick Heal hanno individuato 9 nuove famiglie di ransomware in questo trimestre. Il "Top Malware" è rimasto lo stesso dello scorso trimestre, un trojan capace di modificare il browser. Tra i modi di propagazione più diffusioni troviamo i software free, i dispositivi di rete e removibili, le email di spam, i siti web compromessi. 
 
La famiglia dei trojan ottiene ancora una volta il gradino più alto del podio in quanto a numero di individuazioni, seguita da worm e adware. La catena di attacco che ha più colpito l'attenzione è stata quella che ha riguardato il popolarissimo tool di ottimizzazione per computer CCleaner (ne abbiamo parlato qui).
 
Per quanto riguarda Android invece lo scenario si fa difficile: il numero delle individuazioni è cresciuto del 40% rispetto allo scorso trimestre. Gli app-store di terze parti continuano ad essere la principale fonte di malware. Le Applicazioni potenzialmente non desiderate (PUA) sono cresciute del 238%. 
 
L'intero report è consultabile qui. Qui approfondiremo i ransomware per Windows e per Android.
 
I ransomware per Windows
  • Nel 3° trimestre assistiamo ad una crescita esponenziale della famiglia ransomware Cryptomix. Utilizzano vastissime campagne di email di spam e dannose e vari exploit kit. Negli ultimi 3 mesi c'è stata una crescita anhe del ransomware Globeimposter, che cripta i file apponendovi svariate e diverse estensioni. Questo ransomware si diffondeva tramite RDP (remote desktop), ma ora usa anche campagne di spam per la diffusione.
  • Abbiamo osservato una nuova variante del ransomware Petya: ha colpito in Europa e in alcuni stati asiatici. La nazione bersaglio è comunque risultata, in maniera evidente, l'Ucraina: vittime privilegiate i servizi energetici e i principali istituti bancari. La nuova versione di Petya non cripta solo i file, ma anche l'MTF (Master File Table) e sovrascrive l'MBR (Master Boot Record), così il sistema bersaglio non potrà più neppure avviarsi. Più che un ransomware potremmo definirlo un "disk wiper", dato che il recupero dei file è impossibile. 
  • Arena e Aleta sono due nuove varianti della famiglia BTCWare. Questi ransomware si diffondono con un attacco di brute-force contro la porta RDP: se l'attacco ha successo (ed è solo questione di tempo), l'attaccante ottiene l'accesso al sistema-
  • La famiglia Locky invece si arricchisce di molti nuovi membri: Lukitus, Diablo6, Ykcol ecc..
  •  
    Altri ransomware osservati nel 3° Trimestre 2017
    •   Karo
    •   NemucodAES
    •   Reyptson
    •   Viro
    •   Oops Locker
    •   Philadelphia
    •   Gryphon
    •   SyncCrypt
    •   Princess
     
    NemucodAES merita un piccolo approfondimento in più: è stato diffuso tramite alcune campagne, diverse, ma accomunate tutte dal fatto di usare mail apparentemente provenienti da UPS: queste email recano allegati .zip che contengono sia il ransomware NemucodAES sia il trojan file-less Kovter. L'allegato .zip contiene un JavaScript che scarica un file .DOC quindi la componente PHP e il file DLL del ransomware. Kovter invece, diffuso in coppia con NemucodAES, è un trojan che non necessita di file salvati in memoria locale per funzionare: si nasconde nel registro, così è molto difficile individuarlo. Ruba i dati della vittima e li invia al server C&C sotto il controllo degli attaccanti. 
     
    Ransomware per Android
    I ransomware per Android funzionano alla stessa maniera dei ransomware per Windows. Il malware può sia criptare i file per renderli illeggibili oppure bloccare lo schermo del dispositivo rendendolo inservibile: viene quindi richiesto un riscatto. Nella tabella sotto è possibile vedere le famiglie di ransomware per Android individuate, confrontate con lo stesso dato del 1° e 2° trimestre 2017. 
     
     
    Il più diffuso e pericolo tra questi è stato Android Locker, individuato dai nostri antivirus come Android.Locker.A. Lo abbiamo individuato in diffusione sul Google Play Store: all'inizio appare inoffensivo, ma, una volta avviato, esegue molteplici attività dannose sul telefono, infine blocca lo schermo sulla home. Impedisce così l'uso del telefono, mentre il ransomware rimane attivo e in esecuzione in background. Scarica quindi file dannosi da un server remoto e allo stesso invia in ritorno dati privati della vittima come email, la cronologia del browser, i contatti, il registro delle chiamate e i messaggi. I dati rubati vengono mostrati alle vittime, in ordine e scelta casuale, su una pagina web. Si chiede un riscatto per lo sblocco del telefono e la rimozione dei dati privati dal web.