29 Giugno 2020 - Tempo di lettura: 8 minuti
La posta elettronica una volta era il metodo principale per la consegna di ransomware. Ora le forme nuove e familiari di ransomware lo stanno usando di nuovo.
Gli attacchi ransomware via e-mail sono di nuovo in aumento, con diverse forme nuove e familiari di ransomware recentemente distribuite con l'aiuto di payload dannosi nei messaggi di phishing.
La posta elettronica era il modo più prolifico per infettare le vittime con il ransomware, ma negli ultimi anni gli aggressori si sono orientati con successo all'uso di porte remote, server non sicuri di fronte al pubblico e altre vulnerabilità nelle reti aziendali per crittografare intere reti, spesso richiedendo centinaia di migliaia di dollari in pagamento per rilasciare nuovamente i dati.
Tuttavia, nelle ultime settimane, i ricercatori di Proofpoint hanno visto un aumento del numero di attacchi ransomware distribuiti via e-mail - incluso uno da un ransomware che non è attivo da anni - con i criminali che inviano centinaia di migliaia di messaggi ogni giorno. Gli attacchi via e-mail utilizzano una varietà di esche per indurre le persone ad aprirle, compresi gli oggetti correlati al coronavirus.
Una delle più grandi campagne e-mail è un nuovo ransomware chiamato Avaddon; nel corso di una settimana a giugno è stato distribuito in oltre un milione di messaggi, rivolti principalmente a organizzazioni negli Stati Uniti.
Avaddon utilizza una tecnica un po 'di base come esca, con linee tematiche che pretendono di riguardare una foto della vittima, facendo leva su potenziali vanità o insicurezza della vittima . Se l'allegato viene aperto, scarica Avaddon utilizzando PowerShell.
I computer infetti mostrano una richiesta di riscatto che richiede $ 800 in bitcoin in cambio di "software speciale" per decrittografare il disco rigido.
Una forma di ransomware-a-service, gli aggressori dietro Avaddon offrono un servizio di "supporto" 24 ore su 24, 7 giorni su 7, per assicurarsi che le vittime abbiano le conoscenze necessarie per pagare il riscatto e avvertono che se gli utenti tentano di recuperare i propri file senza pagare, perderò i file per sempre.
Una seconda campagna di ransomware basata su e-mail dettagliata dai ricercatori è stata soprannominata "Mr. Robot", che ha preso di mira aziende di intrattenimento, produzione e costruzione negli Stati Uniti. I messaggi che affermano di provenire dal Dipartimento della Salute o dei servizi sanitari utilizzano soggetti correlati ai risultati dei test COVID-19 nel tentativo di indurre le vittime a fare clic su un collegamento per visualizzare un documento.
Se la vittima fa clic, questo ransomware viene installato e gli aggressori chiedono $ 100 in cambio del rilascio dei file. È una quantità molto bassa rispetto a molte campagne ransomware, il che suggerisce che si rivolge agli utenti domestici, piuttosto che alle aziende.
Ma non sono solo le organizzazioni del Nord America a subire un numero crescente di attacchi da ransomware via e-mail, ma stanno prendendo di mira anche l'Europa.
I ricercatori osservano che il ransomware di Filadelfia - che ritorna dopo una pausa di tre anni - prende di mira le aziende manifatturiere e alimentari in Germania con esche in lingua tedesca che affermano di provenire dal governo tedesco.