È stato scoperto un nuovo ransomware: il suo nome è PowerWare. I ricercatori della società di sicurezza Carbon Black lo hanno scoperto in un’organizzazione sanitaria presa di mira (senza successo) attraverso una campagna di phishing.
PowerWare, infatti, colpisce le aziende attraverso l’attivazione delle macro di un documento Microsoft Word come, per esempio, una fattura falsa:. Come funziona l’attacco? Il virus viene recapitato tramite il documento che lancia due istanze di PowerShell. Un’istanza scarica lo script ransomware e l’altra prende lo script come input per eseguire il codice dannoso e crittografare i file sul sistema di destinazione: dopo di che gli hacker chiedono il pagamento di un riscatto per rilasciare i dati sottratti.
Il ransomware riesce a evitare di scrivere nuovi file sul disco, confondendosi quindi con le attività legittime del sistema, il che lo rende difficile da rilevare. Le varianti ransomware tradizionali, invece, installano file dannosi sul sistema che, in alcuni casi, possono essere più facili da individuare.
Anche se ha un codice molto semplice, PowerWare rappresenta un nuovo tipo di minaccia, confermando come i cybercriminali siano sempre più propensi a pensare fuori dagli schemi per creare attacchi sempre più inaspettati.
Recuperare le chiavi di cifratura
I ransomware stanno diventando un metodo sempre più utilizzato dai cybercriminali per fare cassa secondo il rapporto sulle minacce alla sicurezza IT pubblicato il mese scorso da McAfee Labs, questi attacchi sono aumentati del 26% nell’ultimo trimestre del 2015 (rispetto al trimestre precedente). Gli hacker inizialmente chiedono un riscatto di circa cinquecento dollari, che diventano mille se il pagamento non viene effettuato entro due settimane. Per gli esperti le aziende che hanno posto in atto sistemi per l’acquisizione completa dei pacchetti dovrebbero essere in grado di recuperare le chiavi di cifratura. I ricercatori hanno scoperto che quando PowerWare chiama i suoi control and command server lo fa nel corso di un protocollo di solo testo, rendendo il traffico facilmente osservabile; per recuperare la chiave di cifratura, le aziende colpite devono semplicemente identificare il dominio giusto e le informazioni IP dal traffico di rete.
Disattivare le macro nei documenti
“PowerShell non viene utilizzato solo in campagne ransomware ma in molti altri malware legati allo spionaggio informatico – spiega Secondo Andrew Komarov,chief intelligence officer presso InfoArmor -. Questa istanza offre funzionalità molto flessibili per lavorare con il sistema operativo della vittima e molti criminali informatici lo utilizzano per aggirare i controlli di sicurezza sugli ambienti basati su Windows”.
Secondo Brian Laing, vice-president of products presso la società di sicurezza Lastline, sono molto pochi gli utenti che necessitano dell’utilizzo di macro nei loro documenti d’ufficio: “Gli utenti dovrebbero sempre disattivare le macro o, meglio ancora, non aprire nessun file con le macro a meno che non siano certi al cento per cento della sua sicurezza. Se ricevono un file con le macro e non sono sicuri della sua affidabilità, devono contattare il proprio dipartimento IT per avviare gli opportuni controlli. Gli utenti privati dovrebbero invece semplicemente eliminare il file”.