Nuovo pericoloso ransomware, neutralizza qualunque antivirus: ti bloccano il pc e chiedono il riscatto

Quando si utilizzano di frequente i pc e la rete Internet è bene non sottovalutare le minacce in continuo aggiornamento. A tal proposito attenzione al nuovo ransomware.

Chi usa costantemente Pc o laptop a lungo connessi al Web sa bene quanto sia importante proteggerli con un Antivirus sempre aggiornato. Allo stesso modo e per quanto possibile è bene non abbassare mai la guardia e avere una certa conoscenza di quelli che sono i potenziali rischi ai quali i propri dispositivi tecnologici possono essere esposti durante la navigazione su Internet.

Ransomware: come funziona il nuovo attacco alla sicurezza informatica
Attacchi informatici: i dettagli degli esperti sul nuovo ransomware – mrinformatico.it

Stiamo ovviamente parlando dei possibili attacchi hacker, di email truffa, di virus e spyware nonché di altre modalità truffaldine mediante le quali malfattori vanno ad ‘aggredire’ la sicurezza informatica del vostro computer sottraendo dati sensibili o bloccando la macchina ed arrivando in diversi casi addirittura a chiedere un ‘riscatto’. Di recente l’attenzione si è concentrata, a tal proposito, su un nuovo ransomware del quale vi forniamo di seguito tutti i dettagli.

Sicurezza informatica: attenzione al nuovo ransomware. Quali sono i rischi

L’operazione ransomware è stata recentemente scoperta dai ricercatori di sicurezza di Trend Micro i quali ne hanno subito dato notizia così da mettere in guardia le persone. Il nome che identifica questo ‘attacco’ informatico è Kasseika e, come spiegato dagli esperti, è stato messo in atto sfruttando BYVOID, una particolare tecnica nota che va a neutralizzare l’antivirus prima che esso proceda con la cifratura del file. Il nome completo di questa modalità di attacco è “Bring Your Own Vulnerable Driver” e, nel caso specifico, va a sfruttare un driver vulnerabile dell’antivirus andando a chiudere i processi di soluzioni di sicurezza e monitoraggio. Dopodichè inizia a criptare i file.

La procedura del nuovo pericoloso attacco ransomware
Richiesta di riscatto di 50 Bitcoin in ogni cartella crittografata – mrinformatico.it

Secondo gli informatici questo ransomware può, per via di alcune sue caratteristiche, essere accostato al pericoloso BlackMatter/BlackCat/DarkSide. Ma come tutto ha inizio? Si parte con una e-mail di phishing, strumento spesso adottato in questi casi: nell’attacco in questione essa viene inviata ai dipendenti della società che i malfattori decidono di prendere di mira. La finalità è quella di rubare le credenziali degli account che consentono di accedere alla rete aziendale: a quel punto verrà eseguito sul sistema già compromesso un file .bat dannoso mediante lo strumento PsExec di Windows; file che verrà eseguito successivamente anche sugli altri sistema ‘a valanga’. Il processo avviato è chiamato Martini.exe e va a sovrascrivere un processo dal medesimo nome che potrebbe causare interferenze con l’attività degli hacker.

La catena di attacco prosegue con il download, sulle macchine compromesse, del driver vulnerabile Martini.sys che fa parte dell’antivirus VirtIT Agent System di TG Soft. In questo modo il malware riuscirà a ‘rubare’ i permessi per interrompere i processi di antivirus e strumenti di sicurezza andando infine ad avviare l’eseguibile per crittografare i file (inserendo in ogni cartella una richiesta di riscatto di 50 Bitcoin da pagare entro 72 ore e con altri 500mila dollari dopo ogni 24 ore di ritardo) ed infine cancellare le tracce dell’attacco mediante uno script.

Gestione cookie