Report 3° trimestre sulle minacce informatiche: i ransomware - LUNEDÌ 4 DICEMBRE 2017. Nel terzo trimestre del 2017 abbiamo individuato oltre 199 milioni di malware sui sistemi degli utenti Quick Heal: la maggior parte di queste individuazioni risalgono al mese di Luglio. Rispetto al trimestre scorso il numero delle rilevazioni è sceso dell'11%. Purtroppo però non sarebbe corretto pensare ad una tregua: i ransomware hanno continuato incessantemente a colpire gli utenti in tutto il mondo. I Lab di sicurezza Quick Heal hanno individuato 9 nuove famiglie di ransomware in questo trimestre. Il "Top Malware" è rimasto lo stesso dello scorso trimestre, un trojan capace di modificare il browser. Tra i modi di propagazione più diffusioni troviamo i software free, i dispositivi di rete e removibili, le email di spam, i siti web compromessi. La famiglia dei trojan ottiene ancora una volta il gradino più alto del podio in quanto a numero di individuazioni, seguita da worm e adware. La catena di attacco che ha più colpito l'attenzione è stata quella che ha riguardato il popolarissimo tool di ottimizzazione per computer CCleaner (ne abbiamo parlato qui). Per quanto riguarda Android invece lo scenario si fa difficile: il numero delle individuazioni è cresciuto del 40% rispetto allo scorso trimestre. Gli app-store di terze parti continuano ad essere la principale fonte di malware. Le Applicazioni potenzialmente non desiderate (PUA) sono cresciute del 238%. L'intero report è consultabile qui. Qui approfondiremo i ransomware per Windows e per Android. I ransomware per Windows Altri ransomware osservati nel 3° Trimestre 2017 • Karo • NemucodAES • Reyptson • Viro • Oops Locker • Philadelphia • Gryphon • SyncCrypt • Princess NemucodAES merita un piccolo approfondimento in più: è stato diffuso tramite alcune campagne, diverse, ma accomunate tutte dal fatto di usare mail apparentemente provenienti da UPS: queste email recano allegati .zip che contengono sia il ransomware NemucodAES sia il trojan file-less Kovter. L'allegato .zip contiene un JavaScript che scarica un file .DOC quindi la componente PHP e il file DLL del ransomware. Kovter invece, diffuso in coppia con NemucodAES, è un trojan che non necessita di file salvati in memoria locale per funzionare: si nasconde nel registro, così è molto difficile individuarlo. Ruba i dati della vittima e li invia al server C&C sotto il controllo degli attaccanti. Ransomware per Android I ransomware per Android funzionano alla stessa maniera dei ransomware per Windows. Il malware può sia criptare i file per renderli illeggibili oppure bloccare lo schermo del dispositivo rendendolo inservibile: viene quindi richiesto un riscatto. Nella tabella sotto è possibile vedere le famiglie di ransomware per Android individuate, confrontate con lo stesso dato del 1° e 2° trimestre 2017. Il più diffuso e pericolo tra questi è stato Android Locker, individuato dai nostri antivirus come Android.Locker.A. Lo abbiamo individuato in diffusione sul Google Play Store: all'inizio appare inoffensivo, ma, una volta avviato, esegue molteplici attività dannose sul telefono, infine blocca lo schermo sulla home. Impedisce così l'uso del telefono, mentre il ransomware rimane attivo e in esecuzione in background. Scarica quindi file dannosi da un server remoto e allo stesso invia in ritorno dati privati della vittima come email, la cronologia del browser, i contatti, il registro delle chiamate e i messaggi. I dati rubati vengono mostrati alle vittime, in ordine e scelta casuale, su una pagina web. Si chiede un riscatto per lo sblocco del telefono e la rimozione dei dati privati dal web. |