Check Point ha rilevato un notevole aumento degli attacchi del ransomware Locky in tutto il mondo, Italia compresa.
Secondo i dati dell’ultimo Global Threat Impact Index, il ransomware ha colpito l’11.5% delle aziende a livello globale. Anche l’Italia ha registrato una presenza massiccia di attacchi Locky, che ha conquistato così il primo posto nella top ten dei malware più diffusi a settembre, seguito da RoughtTed e Globeimposter.
Locky non appariva nelle classifiche top ten mondiali dei malware più diffusi da novembre 2016, ma a settembre il ransomware è salito al secondo posto, alimentato dalla botnet Necurs.
Questo ransomware si trasmette soprattutto attraverso email di spam che contengono un downloader camuffato con un Word o un file Zip allegato contenente macro dannose. Quando gli utenti attivano queste macro, l‘allegato scarica e installa il malware che crittografa tutti i file dell’utente. Un messaggio porta poi l’utente a scaricare il browser Tor e a visitare una pagina web che richiede un pagamento in bitcoin.
I cybercriminali saranno sempre alla ricerca di nuove tecniche per modificare gli attuali malware e renderli ancora più potenti, mentre le botnet possono dare alle vecchie varianti una nuova vita, dando loro la possibilità di raggiungere rapidamente gli utenti di tutto il mondo. I dati di settembre rivelano che più di una organizzazione su dieci è stata attaccata da un’unica famiglia di ransomware a settembre: ciò sottolinea la pericolosità sia dei malware esistenti sia delle nuove varianti.
I tre malware più diffusi a settembre 2017:
- RoughTed – un tipo di malvertising presente su larga scala che viene utilizzato per diffondere siti web dannosi e payload come truffe, adware, exploit kit e ransomaware. Può essere usato per attaccare ogni tipo di piattaforma e sistema operativo, riesce a superare i controlli della pubblicità e le impronte digitali così da assicurarsi di sferrare l’attacco piùà potente.
- Locky – ransomware che ha iniziato a circolare nel febbraio 2016 e si diffonde soprattutto attraverso email di spam, che contengono un downloader camuffato con un Word o un file Zip allegato, che poi viene scaricato e installa così il malware, che crittografa tutti i file dell’utente.
- Globeimposter – si tratta di un ransomware che si presenta come una variante del ransomware Globe. È stata scoperto a maggio 2017 e viene utilizzato per diffondere campagne spam, malvertising ed exploit kit. A seguito della crittografia, il ransomware aggiunge l’estensione .crypt a ciascun file crittografato.