Ransomware

PowerWare, il nuovo ransomware che scatena l’attacco usando le macro di Word

Gli hacker crittografano i file sul sistema di destinazione, dopo di che chiedono il pagamento di un riscatto per rilasciare i dati sottratti. Il riscatto parte da circa cinquecento dollari, che diventano mille se il pagamento non viene effettuato entro due settimane

Pubblicato il 03 Mag 2016

startup-593324-640-160427165353

È stato scoperto un nuovo ransomware: il suo nome è PowerWare. I ricercatori della società di sicurezza Carbon Black lo hanno scoperto in un’organizzazione sanitaria presa di mira (senza successo) attraverso una campagna di phishing.

PowerWare, infatti, colpisce le aziende attraverso l’attivazione delle macro di un documento Microsoft Word come, per esempio, una fattura falsa:. Come funziona l’attacco? Il virus viene recapitato tramite il documento che lancia due istanze di PowerShell. Un’istanza scarica lo script ransomware e l’altra prende lo script come input per eseguire il codice dannoso e crittografare i file sul sistema di destinazione: dopo di che gli hacker chiedono il pagamento di un riscatto per rilasciare i dati sottratti.

Il ransomware riesce a evitare di scrivere nuovi file sul disco, confondendosi quindi con le attività legittime del sistema, il che lo rende difficile da rilevare. Le varianti ransomware tradizionali, invece, installano file dannosi sul sistema che, in alcuni casi, possono essere più facili da individuare.

Anche se ha un codice molto semplice, PowerWare rappresenta un nuovo tipo di minaccia, confermando come i cybercriminali siano sempre più propensi a pensare fuori dagli schemi per creare attacchi sempre più inaspettati.

Recuperare le chiavi di cifratura

I ransomware stanno diventando un metodo sempre più utilizzato dai cybercriminali per fare cassa secondo il rapporto sulle minacce alla sicurezza IT pubblicato il mese scorso da McAfee Labs, questi attacchi sono aumentati del 26% nell’ultimo trimestre del 2015 (rispetto al trimestre precedente). Gli hacker inizialmente chiedono un riscatto di circa cinquecento dollari, che diventano mille se il pagamento non viene effettuato entro due settimane. Per gli esperti le aziende che hanno posto in atto sistemi per l’acquisizione completa dei pacchetti dovrebbero essere in grado di recuperare le chiavi di cifratura. I ricercatori hanno scoperto che quando PowerWare chiama i suoi control and command server lo fa nel corso di un protocollo di solo testo, rendendo il traffico facilmente osservabile; per recuperare la chiave di cifratura, le aziende colpite devono semplicemente identificare il dominio giusto e le informazioni IP dal traffico di rete.

Disattivare le macro nei documenti

“PowerShell non  viene utilizzato solo in campagne ransomware ma in molti altri malware legati allo spionaggio informatico – spiega Secondo Andrew Komarov,chief intelligence officer presso InfoArmor -. Questa istanza offre funzionalità molto flessibili per lavorare con il sistema operativo della vittima e molti criminali informatici lo utilizzano per aggirare i controlli di sicurezza sugli ambienti basati su Windows”.

Secondo Brian Laing, vice-president of products presso la società di sicurezza Lastline, sono molto pochi gli utenti che necessitano dell’utilizzo di macro nei loro documenti d’ufficio: “Gli utenti dovrebbero sempre disattivare le macro o, meglio ancora, non aprire nessun file con le macro a meno che non siano certi al cento per cento della sua sicurezza. Se ricevono un file con le macro e non sono sicuri della sua affidabilità, devono contattare il proprio dipartimento IT per avviare gli opportuni controlli. Gli utenti privati dovrebbero invece semplicemente eliminare il file”.

Valuta la qualità di questo articolo

La tua opinione è importante per noi!

Speciale Digital360Awards e CIOsumm.it

Tutti
Update
Round table
Keynote
Eventi
Digital360 Awards e CIOsumm.IT, ecco i progetti vincitori
Tavola rotonda
Evoluzione del CIO: da centro di costo a motore strategico del business
Tavola rotonda
Business Process Augmentation: dall’RPA alla GenAI… il dato e tratto
Approfondimenti
Sistemi digitali potenziati: l’intelligenza dei chatbot è nelle mani dei CIO
Tavola rotonda
Intelligenza collaborativa e AI: sfide e opportunità per i CIO nell’era dello Human to Machine (H2M) 
Approfondimenti
Open Source: collaborazione e innovazione nel caos apparente del software libero 
Metodologie
BANI: che cos’è e come l’AI può aiutare i CIO a gestire la felicità (e l’infelicità) dei talenti
Prospettive
AI in un mondo complesso. Tra ordine e disordine, le aziende iniziano a capire la giusta via
Approfondimenti
Intelligenza Umana vs Intelligenza Artificiale insieme. Non invece
Eventi
Digital360 Awards e CIOsumm.IT, al via l’evento conclusivo
Eventi
Digital360 Awards e CIOsumm.IT, ecco i progetti vincitori
Tavola rotonda
Evoluzione del CIO: da centro di costo a motore strategico del business
Tavola rotonda
Business Process Augmentation: dall’RPA alla GenAI… il dato e tratto
Approfondimenti
Sistemi digitali potenziati: l’intelligenza dei chatbot è nelle mani dei CIO
Tavola rotonda
Intelligenza collaborativa e AI: sfide e opportunità per i CIO nell’era dello Human to Machine (H2M) 
Approfondimenti
Open Source: collaborazione e innovazione nel caos apparente del software libero 
Metodologie
BANI: che cos’è e come l’AI può aiutare i CIO a gestire la felicità (e l’infelicità) dei talenti
Prospettive
AI in un mondo complesso. Tra ordine e disordine, le aziende iniziano a capire la giusta via
Approfondimenti
Intelligenza Umana vs Intelligenza Artificiale insieme. Non invece
Eventi
Digital360 Awards e CIOsumm.IT, al via l’evento conclusivo

Articoli correlati

Articolo 1 di 3