Il ransomware torna a colpire anche in Italia

Il ransomware torna a farsi vedere, anche in Italia. Una campagna basata su Avaddon è stata riscontrata la settimana scorsa.
Ecco le analisi di Sherrod DeGrippo, Senior Director of Threat Research di Proofpoint.

Nell’ultimo mese i ricercatori di Proofpoint hanno osservato un leggero aumento degli attacchi via email che utilizzano il ransomware come payload di primo livello. Cambiamento significativo di strategia degli aggressori, che nell'ultimo anno avevano utilizzato nella prima fase downloader, responsabili poi della distribuzione di ransomware in seconda o successiva fase. Questo leggero aumento della quantità di ransomware potrebbe annunciare il ritorno di grandi campagne, come accaduto nel 2018.

Si tratta di attacchi che hanno interessato varie famiglie di ransomware e hanno preso di mira diversi settori negli Stati Uniti, in Francia, Germania, Grecia e Italia, usando spesso esche e messaggi in lingua madre. Tra le famiglie di ransomware individuate livello vi sono, tra le altre:

• Avaddon (nuova famiglia)
• Buran (che prende il nome dallo Space Shuttle russo)
• Darkgate
• Philadelphia (già individuato da Proofpoint in 2017)
• Mr. Robot
• Ranion

Tutti questi gruppi procedono a crittografare i files degli utenti e richiedono un riscatto.

I volumi giornalieri variano da uno a ben 350.000 messaggi in ogni campagna, e più di un milione di messaggi tra il 4 e il 10 giugno 2020 includeva Avaddon. I temi utilizzati sono stati vari, tra cui alcuni che sfruttavano COVID-19, e numerosi settori sono stati presi di mira, tra cui l'istruzione e il manifatturiero, seguiti da trasporti, intrattenimento, tecnologia, sanità e telecomunicazioni.

“Questo ritorno del ransomware come payload iniziale è inaspettato, dopo un periodo così lungo e relativamente tranquillo”, spiega DeGrippo. “Il cambiamento di tattica potrebbe essere un indicatore del fatto che i cyber criminali stanno tornando al ransomware, usandolo con nuove esche. Il significato di questo cambiamento non è ancora chiaro, ma è evidente che il panorama delle minacce sta cambiando rapidamente, e dovremmo continuare ad aspettare l'inaspettato.”

AVADDON PRENDE DI MIRA L’ITALIA
I ricercatori Proofpoint hanno identificato una campagna basata sul ransomware Avaddon che ha preso di mira le aziende italiane nella settimana del 29 giugno 2020. Migliaia di messaggi di ingegneria sociale sono stati utilizzati per cercare di convincere gli utenti ad aprire documenti Microsoft Excel. Una volta abilitate le macro XL4, viene scaricato il ransomware Avaddon, che cripta i file e successivamente richiede un pagamento. Proofpoint ha impedito a questo messaggio di compromettere i suoi clienti.

la Redazione

Figura 1: esempio di email italiana