Aziende nel mirino di RAA, il ransomware che cripta i dati e ruba pure le password

Naviga SWZ: Home Page » News
News del 14 Settembre 16 Autore: Stefano Fossati
Il ransomware RAA, noto agli esperti di cybersicurezza dallo scorso giugno, si aggiorna e diventa ancora più efficace (e pericoloso). I ricercatori di Kaspersky Labs hanno infatti identificato una nuova e più evoluta versione di questo ransomware, caratterizzato fra l’altro dalla capacità di installare sulle macchine infette anche un trojan in grado di rubare dati e informazioni.

Come la precedente versione, RAA viene diffuso via email ma ora il codice malevolo è nascosto in un allegato zip protetto da password, in modo da renderne più difficile il riconoscimento da parte dei software antivirus. Sembra inoltre che i creatori di questo malware abbiano cambiato i loro obiettivi, puntando ora in particolare alle aziende piuttosto che agli utenti comuni, per il prevedibile motivo che le prime sono più portate a pagare riscatti pur di riottenere l’accesso ai loro dati.

Aziende nel mirino di RAA, il ransomware che cripta i dati e ruba pure le password - immagine 1

Il testo contenuto nelle email attraverso le quali si diffonde RAA promette informazioni su un ordine di pagamento di un fornitore in ritardo: le informazioni, si legge nel messaggio, sono contenute “per motivi di sicurezza” in un archivio protetto da password, circostanza che induce molti utenti a credere all’autenticità dell’email. La password, naturalmente, è fornita alla fine del messaggio, in modo che l’incauto utente possa aprire l’allegato e avviare inconsapevolmente il processo di installazione del malware.

Come in precedenza, l’installazione di RAA inizia nel momento in cui viene eseguito il file con estensione js; durante l’operazione, l’utente viene distratto con la visualizzazione sullo schermo di un falso documento di testo contenente caratteri o casuali, dopodiché i file contenuti sul pc vengono criptati e la vittima si ritrova davanti un nuovo messaggio con la richiesta di riscatto. A rendere ancora più efficace la nuova versione è il fatto che il ransomware non ha più bisogno di comunicare con un server C&C (command and control) per criptare i file sul computer, così da poter operare anche su macchine non connesse a internet.

Come se non bastasse, il ransomware installa anche il trojan Pony, un ulteriore malware in grado di impossessarsi delle credenziali di login della vittima. Questi ultimi possono essere utilizzati dagli hacker per utilizzare gli account aziendali e i loro contatti per diffondere ulteriormente RAA, ma i ricercatori non escludono che tali dati possano essere anche messi in vendita sul dark web.

Attualmente, spiegano gli esperti, il ransomware prende di mira soprattutto aziende russe, ma il suo successo potrebbe determinarne presto la diffusione su scala mondiale.
Inserisci un commento sul forum Commenta la News sul Forum

Voto:

Categoria: Sicurezza

La Community di SWZone.it

La community con le risposte che cerchi ! Partecipa é gratis !
Iscrizione ForumIscriviti al Forum

Newsletter

Vuoi ricevere tutti gli aggiornamenti di SWZone direttamente via mail ?
Iscrizione NewsletterIscriviti alla Newsletter

NOTIZIE CORRELATE