Ministero dello Sviluppo Economico

CERT Nazionale Italia - Computer Emergency Response Team

Malware

Il ransomware SynAck colpisce aziende anche in Europa

bitcoin  ransomware  SynAck   venerdì, 8 settembre 2017

Gli esperti di sicurezza di Bleeping Computer hanno rilevato un notevole incremento nelle attività di una nuova variante di ransomware denominata SynAck (o Syn Ack).

Questo ransomware è stato individuato per la prima volta il 3 agosto scorso. Nell’ultima settimana è stato rilevato un picco di infezioni in diversi aree geografiche, tra cui prevalentemente Stati Uniti, Sud America (Brasile e Argentina), Europa (Inghilterra, Svizzera, Belgio), Asia (India, Singapore, Indonesia), Australia.

Gli esperti ritengono che il gruppo di cybercriminali responsabile di queste nuove campagne di infezione utilizzi attacchi a forza bruta a servizi RDP esposti sulla rete per violare da remoto singoli computer (tipicamente server Windows in reti aziendali) sui quali scaricano ed installano il malware direttamente.

Una volta infettata una macchina, SynAck cifra i file della vittima utilizzando algoritmi ECC (crittografia ellittica) e AES-256. Questo ransomware appende ai file cifrati un’estensione formata da dieci caratteri alfanumerici casuali: ad esempio, il file “test.jpg” viene rinominato in “test.jpg.XbMiJQiuoh”.

SynAck non segnala la sua presenza all’utente modificando l’immagine della scrivania, ma si limita a memorizzare sul desktop la nota di riscatto in un file denominato “RESTORE_INFO-[id].txt”, dove “[id]” è una stringa alfanumerica di 8 caratteri che rappresenta l’identificativo univoco assegnato dal malware alla vittima. Gli esperti hanno identificato tre diverse varianti di SynAck che utilizzato tre diversi formati per la nota di riscatto (vedi esempio nell’immagine).

Nota di riscatto di SynAck

Esempio di nota di riscatto di SynAck (indirizzi offuscati)

Questo ransomware non utilizza per il pagamento del riscatto un portale ospitato nel Dark Web ma richiede alle vittime di contattare direttamente gli autori via Email o utillizzando il protocollo BitMessage via Web. Per ottenere il programma in grado di decifrare i dati, SynAck richiede un riscatto in bitcoin variabile a seconda del tipo di vittima e del valore dei dati presi in ostaggio.

Al fine di prevenire la possibilità di cadere vittime di questa tipologia di minaccia informatica, si consiglia di prendere visione della Linea Guida del CERT Nazionale “Ransomware: rischi e azioni di prevenzione”.

Notizie correlate

Il ransomware SyncCrypt si nasconde in immagini JPEG

23 agosto 2017

È stato scoperto un nuovo ransomware chiamato SyncCrypt che viene distribuito come file WSF che scarica immagini JPEG contenenti il malware in formato ZIP.Leggi tutto

Nuove campagne di diffusione dei malware NemucodAES e Kovter

17 luglio 2017

Sono state individuate nelle scorse settimane nuove campagne di Email di spam che distribuiscono il ransomware NemucodAES e il trojan Kovter.Leggi tutto

Il ransomware LeakerLocker scoperto in due app su Google Play

10 luglio 2017

I ricercatori di sicurezza di McAfee hanno scoperto un nuovo tipo di ransomware, battezzato LeakerLocker, che colpisce i dispositivi mobili equipaggiati con il sistema operativo Android.Leggi tutto