Reyptson: il ransomware che si diffonde sfruttando Thunderbird


Il malware usa la lista contatti per inviare email con un allegato infetto. È il primo ransomware (dopo WannaCry) che usa tecniche per diffondersi da solo.

Chi ha detto che ai pirati non piace l’open source? Gli autori di Reyptson sembrano amare i software liberi e hanno deciso di usare uno dei più popolari per diffondere il loro ransomware.

Reypston, come spiega un ricercatore di Emsisoft, è il primo ransomware che utilizza un programma di posta elettronica per inviare una copia di sé stesso all’elenco contatti memorizzato sul PC infetto. E per farlo ha deciso di sfruttare Thunderbird, il client email “open” di Mozilla.

Il malware, una volta raggiunto il computer della vittima, controlla come prima cosa se sul sistema sia installato Thunderbird. Se la verifica è positiva, cerca di estrarre l’elenco dei contatti e li usa per inviare loro email con allegata una copia del ransomware.

Reypston ransomware

Thunderbird non è particolarmente diffuso, ma evidentemente i pirati hanno trovato il modo di accedere alla sua rubrica e lo hanno eletto come strumento per diffondere il loro ransomware.

Fino a oggi i ransomware (con la notevole eccezione di WannaCry) non hanno mai sfruttato tecniche che gli consentissero di diffondersi autonomamente. Reypston, quindi, rappresenta una novità.

La campagna di distribuzione individuata da Emsisoft prende di mira la Spagna e sfrutta una classica tecnica di ingegneria sociale, utilizzando email in lingua spagnola che sembrano accompagnare la trasmissione di una fattura in PDF.

In realtà il documento allegato avvia l’installazione del ransomware che una volta eseguito individua e crittografa tutti i documenti che corrispondono a uno specifico elenco di estensioni utilizzando un algoritmo AES-128. I file crittografati vengono rinominati utilizzando il nome “Reypsont come nuova estensione.

In ogni cartella viene poi copiato un file di testo che contiene le istruzioni per pagare l’immancabile riscatto e ottenere la chiave crittografica che permette di recuperare i file.

Il riscatto è fissato in 200 dollari, ma i pirati hanno previsto una sorta di “incentivo” per spingere le vittime a pagare presto. Dopo 72 ore, il riscatto sale a 500 dollari.



Articoli correlati

Altro in questa categoria


Hacker ruba 7 milioni di dollari alla piattaforma CoinDash


L’attacco è stato attentamente pianificato per colpire durante il lancio della piattaforma e impossessarsi del denaro degli investitori.

Colpo grosso nel mondo delle cripto-valute: un ignoto hacker sarebbe infatti riuscito a intascare la bellezza di 7 milioni di dollari in Ethereum (ETH) dirottando i versamenti nel corso del lancio di una nuova piattaforma di investimento online chiamata CoinDash.

L’attacco ha colpito CoinDash proprio il giorno della sua ICO (Initial Coin Offering), una modalità di lancio simile a quella usata dalle società che si quotano in borsa (Initial Public Offering o IPO) ma che nel mondo delle cripto-valute funziona in maniera un po’ diversa.

La ICO, in buona sostanza, è una forma di finanziamento per avviare una nuova cripto-valuta che avviene nel seguente modo: le persone interessate versano denaro sotto forma di un’altra cripto-valuta (in questo caso la moneta scelta era Ethereum) e ottiene in cambio dei token, cioè delle quote che potranno essere convertite nella nuova moneta una volta che è avviata.

CoinDash, in particolare, si proponeva l’obiettivo di andare oltre la semplice creazione di una cripto-valuta, ma di creare una piattaforma di trading con caratteristiche “social”. Insomma: qualcosa che ha suscitato molto interesse tra gli appassionati del settore.

Peccato che abbia suscitato anche l’interesse di uno o più pirati informatici che hanno pensato bene di sfruttare l’ICO per riempirsi le tasche. E stando a quanto si capisce dalle (scarse) spiegazioni fornite sul sito di CoinDash, lo hanno fatto nel modo più semplice: sostituendo l’indirizzo originale per il pagamento con il loro.

In pratica, 3 minuti dopo l’avvio dell’ICO, tutti i versamenti effettuati dagli investitori sono finiti nelle tasche degli hacker. Quando i gestori del sito si sono accorti di quello che stava succedendo e hanno bloccato il tutto, avevano già messo le mani sulla bellezza di 7 milioni di dollari in Ethereum.

Hacker CoinDash

Avrebbe dovuto essere la trionfale partenza di una nuova piattaforma di investimenti online, si è trasformata in uno dei più profittevoli furti digitali.

In attesa di capire come i pirati abbiano potuto violare con tale facilità il sito di una piattaforma di trading che (almeno in teoria) dovrebbe avere misure di sicurezza adeguate per evitare episodi del genere, resta il nodo legato al destino di quanti hanno versato il denaro e rischiano di trovarsi con un pugno di mosche.

Stando a quanto si legge sul comunicato diffuso da CoinDash, i promotori della piattaforma hanno intenzione di dare i token promessi anche a chi ha inviato la sua quota all’indirizzo sbagliato ma, visto che questo tipo di attività non sono regolamentate in alcun modo, averne la certezza è impossibile.

C’è anche da dire che, visto l’esordio, il CEO di CoinDash Alon Muroch da oggi non potrà certo contare di attrarre investitori facendo leva sull’affidabilità della piattaforma.



Articoli correlati

Altro in questa categoria


Whatsapp ora consente di inviare qualsiasi file. I pirati brindano


La nuova funzione dell’app per la messaggistica istantanea farà la felicità di molti utenti, ma apre la strada anche all’invio di malware.

Fino a oggi i rischi legati all’uso di Whatsapp si limitavano all’ipotesi dell’uso di link e tecniche di social engineering. Tra poco, la popolare app rischia di essere presa di mira da orde di pirati informatici in cerca di un nuovo (ed efficace) vettore di attacco.

A cambiare le carte in tavola è una nuova funzionalità che consente di inviare qualsiasi tipo di “documento”. Peccato che per documento si intendano anche file eseguibili, archivi compressi e persino file APK (i file di installazione per le app su Android – ndr).

Per farlo è necessario installare la nuova versione di Whatsapp, che però si può immaginare arriverà su tutti i terminali nel giro di poche settimane.

Whatsapp malware

Dalle parti di Whatsapp hanno pure il coraggio di segnalare la nuova funzione con un certo entusiasmo…

L’app di messaggistica, quindi, passa dall’essere una delle più attente alla privacy (grazie per esempio alla crittografia end-to-end delle conversazioni) a rappresentare un pericolo enorme per la sicurezza.

Il trasferimento di file eseguibili e potenzialmente pericolosi, infatti, è di solito bloccato da tutti i software più diffusi, a partire da Outlook per arrivare a Skype, proprio a causa del rischio che funzioni del genere si trasformino in un formidabile vettore d’attacco per i pirati informatici.

La nuova funzionalità è attiva per iOS e Android, ma anche per la versione Web dell’applicazione. Da oggi, quindi, 1,2 miliardi di utenti possono essere raggiunti in un attimo da malware e applicazioni malevole.

Considerato poi che gli utenti Whatsapp non sono esattamente un campione di “smanettoni” attenti a quello che fanno quando usano l’app sul loro smartphone, le condizioni per una catastrofe ci sono tutte. Auguri.



Articoli correlati

Altro in questa categoria


Doppio malware: Ransomware e trojan distribuiti insieme


Il ransomware NemucodAES viene distribuito insieme a Kovter. Il primo prende in ostaggio i file, il secondo ruba informazioni dal PC.

Un singolo vettore di infezione in grado di installare sul computer due malware distinti. Secondo il ricercatore Brad Duncan, la campagna di distribuzione che ha fatto la sua comparsa in rete nelle ultime due settimane sarebbe una versione cyber-criminale delle promozioni “due per uno”.

Nel dettaglio, Duncan spiega che gli attacchi avvengono attraverso un metodo piuttosto tradizionale: l’invio di messaggi di posta elettronica con un archivio ZIP allegato. Le email sono confezionate in modo da apparire come provenienti da UPS (il celebre servizio di corriere – ndr) e hanno allegato un archivio ZIP che dovrebbe contenere i “dettagli” della spedizione.

Doppio malware

Problemi nella consegna e un allegato con i dettagli relativi alla spedizione. Il trucco è vecchio ma in molti casi rischia ancora di funzionare.

All’interno dell’archivio compresso, però, c’è un JavaScript che avvia l’esecuzione dei due malware. Il primo è una variante del ransomware Nemucod, chiamato NemucodAES.

Si tratta di un classico ransomware, che prende in ostaggio i documenti sul PC crittografandoli ma senza modificarne l’estensione, come fanno molti altri “colleghi”. Il malware, poi, modifica lo sfondo del desktop per visualizzare una richiesta di riscatto in Bitcoin.

Nel corso del 2016 lo stesso ransomware era stato protagonista di una campagna di distribuzione che sfruttava Facebook e di cui abbiamo parlato in questo articolo.

Fortunatamente, i ricercatori hanno messo a punto uno strumento per recuperare gratuitamente i file che può essere scaricato a questo indirizzo. Secondo Duncan, però, gli autori del ransomware ne avrebbero modificato più volte il codice e non è escluso che ne possa comparire a breve una nuova versione più “ostica” da combattere.

Doppio malware

Documenti crittografati e una classica richiesta di riscatto. Per lo meno NemucodAES non compromette il normale funzionamento del PC.

Il secondo ospite indesiderato che viene scaricato sul computer della vittima è invece Kovter. Si tratta di un trojan in circolazione da parecchio tempo (2013) e che i pirati hanno modificato più volte nel corso del tempo.

Al suo esordio Kovter agiva come il vecchio Virus della Polizia di Stato: aspettava che la vittima avviasse qualche attività non propriamente legale come il download di file tramite P2P e bloccava il computer visualizzando un messaggio che chiedeva il pagamento di una “multa” come sanzione per l’attività illecita.

In seguito, Kovter ha cambiato obiettivo e ha cominciato a utilizzare il PC infetto per fare clic su annunci pubblicitari all’insaputa del proprietario del computer.

Le funzionalità dell’attuale versione, secondo Duncan, non sono ancora chiare. Il ricercatore per il momento è riuscito solo a identificare il tipo di trojan analizzando il traffico in uscita e stando alla sua analisi, è improbabile che il suo obiettivo sia quello di agire come “clicker”.

Kovter, in ogni caso, rimane un trojan a tutti gli effetti e permette quindi ai pirati informatici di rubare informazioni dal computer infetto ed eventualmente avviare l’installazione di altri malware. Sottovalutarlo, quindi, può essere un grosso errore.



Articoli correlati

Altro in questa categoria


Un cyber-attacco globale può fare danni per 121 miliardi di dollari


La stima è dei Lloyd’s di Londra, che in un report fanno il punto sui rischi legati al cyber-crimine. Ogni anno l’attività dei pirati costa 400 miliardi di dollari.

La sicurezza informatica non è un problema solo di aziende, amministratori e ricercatori. A preoccuparsi dei possibili danni provocati dai cyber-attacchi sono anche le compagnie di assicurazione, che sempre più spesso si trovano a dover assicurare le società contro l’ipotesi di un attacco informatico.

Ed è proprio dai Lloyd’s di Londra, una delle compagnie di assicurazione “storiche” sul mercato dal 1688, che arriva un report piuttosto scioccante riguardo i possibili costi di un cyber-attacco globale. Secondo gli esperti inglesi, i danni si possono stimare in oltre cento miliardi di dollari e, per la precisione, alla somma “monstre” di 121,4 miliardi.

Gli autori della ricerca hanno considerato due possibili scenari. Il primo è quello di una vulnerabilità di massa come quella che ha aperto la strada alla diffusione di WannaCry. L’ipotesi di un attacco diffuso di questo tipo, secondo il report, potrebbe portare a perdite comprese tra 9,7 e 28,7 miliardi di dollari.

Il vero spauracchio, però, è la possibilità che si verifichi un attacco nei confronti di un grande fornitore di servizi Cloud come Amazon, Microsoft o Google. In questo caso gli esperti dei Lloyd’s stimano perdite finanziarie in una media compresa tra i 15,6 e i 53 miliardi di dollari. Nel caso di un vero “disastro”, però, la stima arriva alla cifra stratosferica di 121,4 miliardi di dollari.

Lloyd's cyber attacco

Non solo le spese per ripristinare i servizi e indagare sugli attacchi. Nei calcoli dei Lloyd’s sono comprese anche le cause civili seguenti e le perdite legate al rallentamento dell’attività dell’azienda.

Il calcolo comprende sia (un piuttosto contenuto) impatto diretto, sia le conseguenze economico-finanziarie nel medio e lungo periodo. Un concetto, questo, ben spiegato in un altro report della stessa società pubblicato nel giugno di quest’anno e che fornisce altri dati piuttosto interessanti.

Primo tra tutti quello dei costi legati al cyber-crimine, che secondo gli esperti dei Lloyd’s di Londra sarebbero quantificabili in 400 miliardi di dollari. Questo, naturalmente, senza “disastri” del tipo di quelli descritti nell’ultimo rapporto.



Articoli correlati

Altro in questa categoria


Cambio di proprietario e l’estensione di Chrome si trasforma in un adware


Qualcuno ha acquisito una estensione diffusa ma ormai “inattiva” per trasformarla in una macchina da soldi attraverso l’inserimento di pubblicità nelle pagine Web.

Non solo malware e siti sospetti. Ora bisogna anche guardarsi dalla possibilità di essere attaccati da… una transazione commerciale.

È quello che è successo a migliaia di utenti Chrome che utilizzavano un’estensione per il browser Google chiamata Particle for YouTube (ma precedentemente conosciuta come YouTube+) che era pensata per offrire alcune funzioni aggiuntive su YouTube e che dalla mattina alla sera si è trasformata in un adware.

Quello che è successo, in realtà, è che lo sviluppatore originale dell’app (che su GitHub si firma come ParticleCore) l’ha venduta a un “collega” che era interessato a rilevarla nonostante l’autore la considerasse ormai obsoleta.

Stando a quanto si capisce da alcuni stralci della corrispondenza tra i due pubblicata da ParticleCore, l’acquirente (roberthawkinsg) era interessato a eventuali funzioni di profilazione degli utenti e alla possibilità di visualizzare pubblicità.

Nonostante la risposta di ParticleCore che escludeva la possibilità di utilizzare simili funzioni, roberthawkinsg ha deciso di procedere e rilevare l’estensione. Come si è scoperto in seguito, il suo interesse non era rivolto alle caratteristiche tecniche dell’estensione, ma al “parco utenti” (circa 30.000) che si portava dietro.

estensione Chrome adware

Particle for YouTube era pensata per offrire funzioni avanzate nell’utilizzo del servizio video di Google. Non certo per sommergere gli utenti di pubblicità…

Poco dopo l’acquisizione, infatti, l’estensione ha subito un aggiornamento con il quale agli utilizzatori era richiesto di concedere due nuove autorizzazioni: la possibilità di leggere e modificare i dati su tutte le pagine visitate e quella di gestire app, estensioni e temi.

Insomma: di fare un po’ quello che le pareva. E gli utenti non hanno tardato ad accorgersene. Particle si è infatti trasformata in un aggressivo adware in grado di infilare pubblicità in ogni angolo di qualsiasi pagina Web, prendendo di mira in particolar modo Google, Yahoo, Bing, Amazon, eBay e Booking.com.

Al momento, tutte le estensioni pubblicate sul Chrome Web Store da roberthawkinsg sono state rimosse, compresa quella acquisita da ParticleCore.



Articoli correlati

Altro in questa categoria