Dal 16 Febbraio è apparso Locky, che non è il fratello di Thor, ma purtroppo una minaccia molto più pericolosa per i nostri file! Si tratta di una nuova variante della famiglia di Ransomware CryptoLocker. Contiamo già circa 400.000 vittime, dei quali la maggioranza negli Stati Uniti, seguiti da Canada e Australia e con i Paesi Europei in rapida crescita.
Gli attacchi sono stati portati attraverso 5 distinte campagne di phishing, con l’appoggio a siti web malevoli o compromessi, per il download del programma di criptatura.
Non vi è nulla di particolarmente nuovo nel risultato finale dell’attacco, i file del nostro PC e di tutte le risorse USB e di rete raggiungibili vengono criptati, sia nel contenuto che nel nome. Da questo punto di vista ciò che contraddistingue questo nuovo ransomware è appunto l’estensione assegnata al file cifrato, ovvero “.locky”.
Anche in questo caso, l’ammontare del riscatto per poter ricevere la chiave necessaria a decifrare i file può variare, ad oggi si sono visti importi tra i 200 e 400 $ circa.
Chi vuole tenersi pronto a questa eventualità ed ha predisposto un borsellino in Bitcoin, gradirà sapere che questa variante cripta anche il file “wallet.dat”, ovvero il portafoglio digitale, che di conseguenza sarà inutilizzabile. Ricordiamoci che questo file è denaro puro, non che gli altri non lo siano, ma questo forse viene percepito meglio come tale, quindi un occhio di riguardo particolare almeno a questo.
Il modello di phishing è sempre il solito, mascherato da fattura in attesa di pagamento, ma sembra sia stata migliorata la periodicità di invio.
In questi ultimi tempi gli hacker probabilmente hanno notato un aumento di attenzione da parte degli utenti al fine di capire se la ricezione di tale fattura è plausibile, per esempio se avviene in un periodo usuale e corretto. Notando questo, chi conduce gli attacchi sta riuscendo a capire come allinearli con l’invio effettivo delle fatture da parte dei fornitori di servizi, in altre parole stanno affinando l’inganno sempre tramite il social engineering.
Più da vicino, la singolarità di Locky sta nel modo in cui viene agganciato il codice di cifratura, perché la mail contiene in allegato un file di testo in formato Office o pdf, nemmeno compresso.
All’apertura del file ci troviamo davanti ad un contenuto apparentemente codificato, ovvero illeggibile, per poterlo leggere ci viene proposto di attivare l’esecuzione della macro, funzionalità che già da tempo è disabilitata di default appunto per ragioni di sicurezza.
L’eventuale incauta attivazione, invece di svelarci il testo del documento, avvia il download del programma di cifratura e relativa esecuzione, il resto lo conosciamo.
Attualmente l’oggetto della mail è sempre qualcosa del tipo: “ATTN: Invoice J-98223146”, nel quale può cambiare solamente il numero di fattura, un filtro antispam sull’oggetto può essere utile, ma sarebbe ingenuo pensare che funzioni a lungo, quindi attenzione a conclusioni affrettate perché cambiarlo è un attimo.
Il testo della mail contiene questa frase:
“Please see the attached invoice (Microsoft Word Document) and remit payment according to the terms listed at the bottom of the invoice”
e il nome dell’allegato è del tipo:
“invoice_J-98223146.doc”.
Mentre i file criptati assumono questa struttura:
[codice_univoco][identificativo].locky , ad esempio “F67091F1D24A922B1A7FC27E19A9D9BC.locky”
L’ABC per questa nuova sfida è lo stesso da dedicare a tutti i Ransomware:
L'utente può sempre fare molto contro i Phishing proprio per questo sono sempre consigliate le Best Practices da attuare in prevenzione per tutti i tipi di Ransomware.
Invece dal punto di vista del controllo della posta dobbiamo sempre prevedere e anticipare anche l'errore umano, perchè fretta e disattenzione purtrooppo sono sempre dietro l'angolo.
A questo scopo di consiglio questa guida, che descrive tutte le caratteristiche e le funzionalità che oggi non devono assolutamente mancare ad un antispam.