Una nuova tipologia di ransomware sta prendendo di mira agenzie governative ed istituti scolastici negli Stati Uniti, sfruttando email di scam che si fingono portatrici di comunicazioni importanti.
Il malware, battezzato "MarsJoke" dai ricercatori di sicurezza di Proofpoint, è stato diffuso con una campagna email su larga scala avviata la scorsa settimana. Gli sviluppatori del cryptomalware hanno inviato email che sono mascherate come una comunicazione proveniente da una compagnia aerea e che si riferisce al tracciamento di una fantomatica spedizione, spingendo l'utente a cliccare su un link. Una volta aperto il link si viene reindirizzati al download di un eseguibile chiamato file_6.exe, il quale se avviato va ad attivare il ransomware MarsJoke.
Una volta che il malware ha compiuto le sue operazioni di cifratura, va a creare una serie di file del tipo "!!! For Decrypt !!!.bat","!!! Readme For Decrypt !!!.txt", e"ReadMeFilesDecrypt!!!.txt"che vengono sparpagliati in varie posizioni sul sistema della vittima. I file criptati mantengono la propria estensione, mentre durante il processo di cifratura appaiono anche file con estensione .a19 e .ap19 che vengono però rimossi una volta che l'operazone è conclusa.
Il desktop dell'utente viene modificato, con un messaggio minaccioso che comunica che i file sono stati cifrati. Viene inoltre mostrato un conto alla rovescia di 96 ore, ovvero il tempo che resta alla vittima prima che i file rimangano criptati in maniera permanente. Il riscatto richiesto per lo sblocco dei file è di 0,7 bitcoin, pari a circa 420$/380€.
Come accade nel caso di altri ransomware, MarsJoke cerca di intimorire l'utente affermando che qualsiasi azione diversa dal pagare il riscatto avrà come esito la perdita irrimediabile dei file. Per dimostrare che i file possono essere davvero decriptati, MarsJoke permette inoltre di sbloccare gratuitamente due file. Infine gli autori del malware hanno ancheincluso una serie di istruzioni che spiegano all'utente in quale modo sia possibile procurarsi Bitcoin.
Le agenzie governative e le istituzioni pubbliche sembrano essere diventate da qualche tempo il bersaglio preferito dagli autori di ransomware, come già avevamo constatato qualche mese fa nel caso delle cliniche della zona di Baltimora, negli USA. E il motivo è facilmente intuibile, trattandosi di una convergenza di fattori molto favorevoli per i criminali: da un lato le infrastrutture tecnologicamente deboli (sia in termini di sicurezza, sia in termini di procedure e soluzioni per il backup di dati), dall'altro la presenza di informazioni e dati di valore e fondamentali per le attività lavorative quotidiane delle vittime.
Fonte: http://www.hwupgrade.it/news/sicurezza-software/ransomware-marsjoke-conto-alla-rovescia-per-pagare-il-riscatto_64816.html
Fonte: http://www.hwupgrade.it/news/sicurezza-software/ransomware-marsjoke-conto-alla-rovescia-per-pagare-il-riscatto_64816.html