Ministero dello Sviluppo Economico

CERT Nazionale Italia - Computer Emergency Response Team

Malware

Il ransomware SynAck colpisce aziende anche in Europa

bitcoin  ransomware  SynAck   venerdì, 8 settembre 2017

Gli esperti di sicurezza di Bleeping Computer hanno rilevato un notevole incremento nelle attività di una nuova variante di ransomware denominata SynAck (o Syn Ack).

Questo ransomware è stato individuato per la prima volta il 3 agosto scorso. Nell’ultima settimana è stato rilevato un picco di infezioni in diversi aree geografiche, tra cui prevalentemente Stati Uniti, Sud America (Brasile e Argentina), Europa (Inghilterra, Svizzera, Belgio), Asia (India, Singapore, Indonesia), Australia.

Gli esperti ritengono che il gruppo di cybercriminali responsabile di queste nuove campagne di infezione utilizzi attacchi a forza bruta a servizi RDP esposti sulla rete per violare da remoto singoli computer (tipicamente server Windows in reti aziendali) sui quali scaricano ed installano il malware direttamente.

Una volta infettata una macchina, SynAck cifra i file della vittima utilizzando algoritmi ECC (crittografia ellittica) e AES-256. Questo ransomware appende ai file cifrati un’estensione formata da dieci caratteri alfanumerici casuali: ad esempio, il file “test.jpg” viene rinominato in “test.jpg.XbMiJQiuoh”.

SynAck non segnala la sua presenza all’utente modificando l’immagine della scrivania, ma si limita a memorizzare sul desktop la nota di riscatto in un file denominato “RESTORE_INFO-[id].txt”, dove “[id]” è una stringa alfanumerica di 8 caratteri che rappresenta l’identificativo univoco assegnato dal malware alla vittima. Gli esperti hanno identificato tre diverse varianti di SynAck che utilizzato tre diversi formati per la nota di riscatto (vedi esempio nell’immagine).

Nota di riscatto di SynAck

Esempio di nota di riscatto di SynAck (indirizzi offuscati)

Questo ransomware non utilizza per il pagamento del riscatto un portale ospitato nel Dark Web ma richiede alle vittime di contattare direttamente gli autori via Email o utillizzando il protocollo BitMessage via Web. Per ottenere il programma in grado di decifrare i dati, SynAck richiede un riscatto in bitcoin variabile a seconda del tipo di vittima e del valore dei dati presi in ostaggio.

Al fine di prevenire la possibilità di cadere vittime di questa tipologia di minaccia informatica, si consiglia di prendere visione della Linea Guida del CERT Nazionale “Ransomware: rischi e azioni di prevenzione”.

Notizie correlate

MysteryBot: nuovo trojan bancario per Android

15 giugno 2018

I ricercatori della società di sicurezza olandese ThreatFabric hanno scoperto MysteryBot, un nuovo trojan bancario per Android che presenta numerose similarità con il già noto LokiBot.Leggi tutto

Scoperta nuova variante del ransomware GandCrab

24 aprile 2018

È stata recentemente individuata in-the-wild una nuova variante del noto ransomware GandCrab diffusa principalmente mediante Email malevole. Leggi tutto

Il nuovo ransomware WhiteRose colpisce in Europa

9 aprile 2018

I ricercatori di sicurezza del MalwareHunterTeam hanno individuato un nuovo esemplare di ransomware denominato WhiteRose, basato sulla famiglia InfiniteTear.Leggi tutto