Ministero dello Sviluppo Economico

CERT Nazionale Italia - Computer Emergency Response Team

Malware

Il ransomware SynAck colpisce aziende anche in Europa

bitcoin  ransomware  SynAck   venerdì, 8 settembre 2017

Gli esperti di sicurezza di Bleeping Computer hanno rilevato un notevole incremento nelle attività di una nuova variante di ransomware denominata SynAck (o Syn Ack).

Questo ransomware è stato individuato per la prima volta il 3 agosto scorso. Nell’ultima settimana è stato rilevato un picco di infezioni in diversi aree geografiche, tra cui prevalentemente Stati Uniti, Sud America (Brasile e Argentina), Europa (Inghilterra, Svizzera, Belgio), Asia (India, Singapore, Indonesia), Australia.

Gli esperti ritengono che il gruppo di cybercriminali responsabile di queste nuove campagne di infezione utilizzi attacchi a forza bruta a servizi RDP esposti sulla rete per violare da remoto singoli computer (tipicamente server Windows in reti aziendali) sui quali scaricano ed installano il malware direttamente.

Una volta infettata una macchina, SynAck cifra i file della vittima utilizzando algoritmi ECC (crittografia ellittica) e AES-256. Questo ransomware appende ai file cifrati un’estensione formata da dieci caratteri alfanumerici casuali: ad esempio, il file “test.jpg” viene rinominato in “test.jpg.XbMiJQiuoh”.

SynAck non segnala la sua presenza all’utente modificando l’immagine della scrivania, ma si limita a memorizzare sul desktop la nota di riscatto in un file denominato “RESTORE_INFO-[id].txt”, dove “[id]” è una stringa alfanumerica di 8 caratteri che rappresenta l’identificativo univoco assegnato dal malware alla vittima. Gli esperti hanno identificato tre diverse varianti di SynAck che utilizzato tre diversi formati per la nota di riscatto (vedi esempio nell’immagine).

Nota di riscatto di SynAck

Esempio di nota di riscatto di SynAck (indirizzi offuscati)

Questo ransomware non utilizza per il pagamento del riscatto un portale ospitato nel Dark Web ma richiede alle vittime di contattare direttamente gli autori via Email o utillizzando il protocollo BitMessage via Web. Per ottenere il programma in grado di decifrare i dati, SynAck richiede un riscatto in bitcoin variabile a seconda del tipo di vittima e del valore dei dati presi in ostaggio.

Al fine di prevenire la possibilità di cadere vittime di questa tipologia di minaccia informatica, si consiglia di prendere visione della Linea Guida del CERT Nazionale “Ransomware: rischi e azioni di prevenzione”.

Notizie correlate

Nuova variante di Locky diffusa mediante documenti Office

13 novembre 2017

I ricercatori di Avira hanno scoperto una nuova variante del ransomware Locky distribuita mediante documenti Microsoft Word o Libre Office.Leggi tutto

Il ransomware Matrix diffuso tramite exploit kit

30 ottobre 2017

Un ricercatore di sicurezza di Malwarebytes ha scoperto una variante del ransomware Matrix che viene distribuita mediante l'exploit kit RIG in campagne di malvertising.Leggi tutto

Nuova massiccia campagna di diffusione ransomware “Bad Rabbit”

25 ottobre 2017

Stando a quanto riportato da numerose fonti, tra le quali le società di sicurezza Kaspersky e ESET, sarebbe in corso una massiccia campagna di diffusione di una nuova variante di ransomware denominata Bad Rabbit.Leggi tutto