Cambio tattica ransomware, ora l’attacco è via Dropbox

Assicurazioni contro i ransomware: garanzie o espedienti?

Ondata TorrentLocker in Europa

Il ransomware TorrentLocker, dopo un periodo di silenzio, è tornato. I laboratori Trend Micro, leader globale nelle soluzioni di sicurezza informatica, hanno scoperto nuove varianti che utilizzano account Dropbox compromessi come metodo di infezione. Questo è un nuovo metodo di attacco ed è in linea con quello che avevamo pronosticato nelle nostre previsioni per il 2017.

TI PIACE QUESTO ARTICOLO?

Iscriviti alla nostra newsletter per essere sempre aggiornato.

Il periodo di silenzio di questo ransomware è servito ai cybercriminali per escogitare nuove strategie. L’attacco TorrentLocker inizia ad esempio con una fattura via e-mail da parte di un fornitore. La fattura però non si trova in allegato ma è accessibile attraverso un link Dropbox che contiene riferimenti e numeri di conto per farla sembrare autentica. TorrentLocker, utilizzando Dropbox come un link URL, può aggirare i sensori gateway nel momento in cui non è presente un allegato e il link è di un sito legittimo.

Quando l’utente clicca il link, scarica sul computer un file JavaScript (JS_NEMUCOD) mascherato da fattura e quando apre questa finta fattura un altro JavaScript viene scaricato ed esegue TorrentLocker. Una caratteristica rilevante delle nuove varianti di TorrentLocker è che sono pacchettizzate come sistema di installazione NSIS per evitare di essere rilevate, tecnica utilizzata da altri ransomware importanti come CERBER, LOCKY, SAGE e SPORA.

Nel periodo compreso tra il 26 febbraio e il 6 marzo la Smart Protection Network Trend Micro ha rilevato 54.688 e-mail spam che contenevano URLs diretti a 815 diversi account Dropbox. Il grosso dell’attacco sta colpendo l’Europa, concentrandosi nei giorni lavorativi tra le ore 09:00 – 10:00, momento in cui vengono controllate le e-mail per la prima volta nella giornata. Molte aziende utilizzano Dropbox per il trasferimento dei file e questo può far cadere i dipendenti in trappola.

Leggi anche:  S2E collabora con Equixly, il virtual hacker che protegge le API

Trend Micro sta collaborando con Dropbox per risolvere questa criticità.