ARGOMENTI SULLA SICUREZZA

Samsam può segnalare una nuova
tendenza del ransomware mirato

Una nuova variante di crypto-ransomware potrebbe indicare un cambiamento di direzione nel colpire le aziende con malware che crittografa i loro file.

Aumento degli incidenti collegati al ransomware

Il Federal Bureau of Investigation (FBI) insieme con lo US-CERT e il Canadian Cyber Incident Response Centre (CCIRC) hanno diramato avvisi  sull'aumento degli incidenti collegati al ransomware.

 

Nel febbraio 2016, Symantec ha evidenziato una crescente diffusione del ransomware Locky, una delle varianti più diffuse in circolazione. Nel corso degli ultimi mesi, Samsam (noto anche come Samas o Samsa), una nuova variante, sta facendo parlare di sé a causa dell'approccio mirato che utilizza per infettare i sistemi.

Sicurezza dei siti Web

Ransomware

Il ransomware mirato

I metodi convenzionali con cui il ransomware infetta i sistemi si avvalgono di strumenti di download nocivi che vengono distribuiti tramite download drive-by ed e-mail spam nocive. Una volta che il sistema di un utente viene infettato, lo strumento di download nocivo scarica un ulteriore malware, che spesso include ransomware crittografato. Le e-mail nocive contengono vari tipi di file allegati, che se vengono aperti, scaricano ed eseguono una delle numerose varianti di ransomware per avviare il processo di crittografia. Dopo che i file sono stati crittografati, alla vittima viene chiesto il pagamento di un riscatto per poterli decrittografare.

Samsam, diversamente dal ransomware più convenzionale, non viene distribuito tramite download drive-by o e-mail. Invece, i criminali informatici che gestiscono Samsam utilizzano strumenti come  Jexboss  per identificare server privi di patch che eseguono prodotti JBoss Enterprise di Red Hat.

Una volta ottenuto l'accesso a uno di questi server sfruttando le vulnerabilità presenti in JBoss, essi utilizzano altri strumenti e script liberamente disponibili per raccogliere credenziali e acquisire informazioni sui computer in rete. Quindi distribuiscono il loro ransomware per crittografare i file su questi sistemi prima di chiedere il riscatto.

Samsam si differenzia da altri ransomware per il fatto che sono i criminali informatici a generare la coppia di chiavi RSA. La maggior parte del ransomware crittografico contatterà un server di comando e controllo, il quale provvederà a generare una coppia di chiavi RSA e restituirà la chiave pubblica per crittografare i file sui computer infettati. Nel caso di Samsam, i criminali informatici generano la coppia di chiavi e caricano la chiave pubblica insieme al ransomware sui computer colpiti.

Innovazione continua nel ransomware

Samsam è solo un'altra variante di un numero crescente di varianti di ransomware, ma ciò che la differenzia dal resto è che raggiunge i suoi obiettivi sfruttando software su server privi di patch aggiornate. Il fatto saliente in questi attacchi di ransomware è la tendenza in crescita che vede i criminali prendere di mira le organizzazioni direttamente. Il successo di questi attacchi recenti indica un cambiamento nell'approccio dei criminali teso a massimizzare i profitti prendendo di mira le aziende vulnerabili.

Il ransomware ha dimostrato di essere un modello di business produttivo, quindi non deve sorprendere che le tecniche utilizzate siano andate oltre lo spam nocivo e i download drive-by per assumere la forma di veri e propri attacchi mirati.

Versioni di JBoss

Le organizzazioni che utilizzano prodotti aziendali JBoss nei loro ambienti devono controllare se eseguono versioni prive di patch e, in tal caso, procedere subito agli aggiornamenti necessari. Secondo Red Hat,  le seguenti versioni di JBoss e le versioni successive  non sono interessate dal fenomeno:

  • Red Hat JBoss Enterprise Application Platform (EAP) 5.0.1
  • Red Hat JBoss Enterprise Application Platform (EAP) 4.3 CP08
  • Red Hat JBoss Enterprise Application Platform (EAP) 4.2 CP09
  • Red Hat JBoss SOA-Platform (SOA-P) 5.0.1
  • Red Hat JBoss SOA-Platform (SOA-P) 4.3 CP03

 

Protezione
I prodotti Symantec e Norton proteggono contro Samsam e i suoi vari strumenti con le seguenti rilevazioni:

Antivirus:

 

Verifica subito la sicurezza del tuo sito Web

Symantec CryptoReport

Controlla l'installazione del tuo certificato SSL/TLS

VERIFICA ADESSO
Valutazione delle vulnerabilità

Valutazione delle vulnerabilità

Una vulnerabilità è un potenziale punto di ingresso attraverso il quale funzionalità o dati di un sito Web possono venire danneggiati, scaricati o manipolati. Un tipico sito Web, anche il blog più elementare, può avere migliaia di potenziali vulnerabilità.

Continua la lettura

La differenza tra virus, worm e Trojan Horse

La differenza tra virus, worm e Trojan Horse

La confusione più grande che fanno le persone quando si avventurano sul tema dei virus informatici è di fare riferimento a un worm o a un Trojan Horse come se si trattasse di un virus.

Continua la lettura

Cosa sono malware, virus, spyware e cookie?

Cosa sono malware, virus, spyware e cookie, e cosa li differenzia?

Prima di scaricare qualsiasi cosa da Internet, innanzitutto verifica che sia sicuro. 

Continua la lettura

STORIE DI SUCCESSO

Soluzioni Symantec Website Security nel mondo reale

Aderisci alla Community

Partecipa alle discussioni sulla sicurezza in Symantec Connect

SYMANTEC CONNECT

Segui l'intelligence sulle minacce su Twitter @Threatintel

SYMANTEC ON TWITTER

Guarda i video sul canale Symantec Website Security di YouTube

SYMANTEC ON YOUTUBE