Sembrano fatture, avvisi di citazione in giudizio o altri messaggi importanti. Invece sono le porte di un crash di sistema che vi crittograferà tutti i dati, impedendovi di lavorare se non a fronte del pagamento di un riscatto.
È una sofisticata campagna di phishing, infatti, quella sta prendendo piede in tutto il mondo e sta colpendo sempre più vittime con attacchi ransomware. I ricercatori della società di sicurezza slovacca ESET hanno rilevato un aumento del numero di e-mail infette che trasportano un malware della famiglia Trojan Nemucod.
I messaggi di posta elettronica attraverso cui vengono eseguiti questi attacchi hanno l’apparenza di veri e propri documenti ufficiali importanti (come per esempio fatture o avvisi di citazione in giudizio). Una volta che il destinatario aprirà il file compresso allegato all’e-mail, scaricherà il virus JS / TrojanDownloader.Nemucod, che a sua volta darà l’avvio a un ransomware, come ad esempio TeslaCrypt o Locky.
I livelli di prevalenza
ESET utilizza quelli che definisce livelli di prevalenza per indicare la frequenza con cui i suoi sistemi hanno rilevato un certo malware.
“Il livello di prevalenza – spiega Josep Albors, security researcher presso ESET – è calcolato prendendo in considerazione la quantità di rilevamenti che gli utenti ESET riportano ai nostri server. Se una nuova campagna malware viene rilevato da un elevato numero di utenti in un certo Paese, aumenta il livello di prevalenza in quel Paese”.
Secondo gli ultimi dati disponibili, il livello di prevalenza in Stati Uniti, Canada, Europa occidentale e Giappone varia dal 30% al 60%. A paragone con i dati precedenti, i ricercatori hanno rilevato livelli leggermente inferiori nella maggior parte delle regioni, fatta eccezione per il Giappone, dove la prevalenza di Nemucod superava il 70%.
“Utilizzare buoni sistemi di backup e redundancy può mitigare gli effetti degli attacchi ransomware e proteggere la rete – spiega Stephen Gates, chief research analyst e principal engineer presso NSFOCUS IB – ma le azioni di phishing che potrebbero causare il download del virus sono quasi impossibili da fermare, così come è impossibile che nessuno degli utenti cada più nell’inganno di aprire una e-mail di quel genere. La chiave per limitare i danni è un buon sistema di rilevazione degli attacchi: una volta che un ignaro dipendente clicca sul messaggio malevolo, il sistema deve sapere rilevare e bloccare subito il malware”.
Un pericolo crescente per la sicurezza aziendale
Secondo gli esperti questa tipologia di attacchi sta diventando sempre più pericolosa e preoccupante. “Oltre alla crittografia del disco rigido degli host infetti – sottolinea Wade Williamson, director of threat analytics presso Vectra Networks – il ransomware esplora la rete per trovare condivisioni di file e unità di rete, che possono essere criptati a loro volta. Questo sposta il ransomware dal piano di semplice attacco “fastidioso” per l’utente ad azione malevola altamente pervasiva che può andare a colpire risorse critiche e proprietà intellettuale. Ogni rete praticamente contiene già dei malware e queste infezioni sono più che sufficienti per lo sviluppo di un attacco di ransomware. La presenza di qualche spambot nella rete aziendale può non sembrare un grande problema, ma alcune infezioni CryptoWall potrebbero addirittura portare all’arresto forzato delle attività di business”. Non solo: per le aziende potrebbe rivelarsi anche molto problematico e oneroso pagare il riscatto per i dati perduti.
“Il pericolo più grande – nota Williamson – è che, pur pagando, non si potrà di certo avere la garanzia di riottenere ciò che si è perso. Tali pagamenti, infatti, sono progettati per non essere tracciabili. Praticamente pagando ci si deve fidare di un criminale, il quale essenzialmente l’ha già fatta franca”.
