I ransomware sono tornati a colpire, anche in Italia ed una campagna basata su Avaddon è stata riscontrata la settimana del 29 giugno, quando migliaia di messaggi di ingegneria sociale sono stati utilizzati per cercare di convincere gli utenti, in particolar modo aziende italiane, ad aprire documenti Microsoft Excel, come evidenziano i ricercatori di Proofpoint.
Sherrod DeGrippo, Senior Director of Threat Research di Proofpoint, spiega come funzionano i ransomware incriminati, a partire proprio da Avaddon.
AVADDON
Avaddon è un esempio di “ransomware-as-a-service” (RaaS), in cui i malintenzionati pagano altri per utilizzare il ransomware invece di realizzarlo in autonomia insieme all’infrastruttura.
I messaggi includevano un allegato, che una volta aperto, scarica il ransomware utilizzando PowerShell. Dopo essere stato eseguito, Avaddon mostra un messaggio di riscatto con la richiesta di 800 dollari in bitcoin tramite TOR. Gli attaccanti forniscono anche supporto e risorse 24/7 sull’acquisto di bitcoin, il test dei file per la decrittografia e altre difficoltà che potrebbero impedire alle vittime di pagare il riscatto.
MR. ROBOT
Il ransomware Mr. Robot ha utilizzato un’esca legata a COVID-19 per convincere gli utenti ad aprire il link. Tra il 19 maggio e il 1 giugno 2020, una serie di campagne di Mr.Robot ha colpito gli Stati Uniti.
I mittenti si spacciavano per il “Departament (sic) of health”, “Departament (sic) of health & human services”, “Health Service”, ed “Health Care” e avevano oggetti simili:
Il destinatario è invitato a cliccare su un link nel messaggio, che se aperto, installa il ransomware Mr. Robot e appare una richiesta di pagamento di 100 dollari.
PHILADELPHIA
Dopo una pausa di quasi tre anni, il ransomware Philadelphia è tornato con una campagna rivolta principalmente alle aziende manifatturiere e alimentari in Germania.
I messaggi, in lingua tedesca, sembrano arrivare dal “Governo Federale Tedesco”, utilizzano la bandiera e il simbolo della Repubblica Federale. Chi apre il link installa Philadelphia, il quale richiede un riscatto (in inglese) di 200 euro.
la Redazione
