Ministero dello Sviluppo Economico

CERT Nazionale Italia - Computer Emergency Response Team

Malware

Il ransomware SynAck colpisce aziende anche in Europa

bitcoin  ransomware  SynAck   venerdì, 8 settembre 2017

Gli esperti di sicurezza di Bleeping Computer hanno rilevato un notevole incremento nelle attività di una nuova variante di ransomware denominata SynAck (o Syn Ack).

Questo ransomware è stato individuato per la prima volta il 3 agosto scorso. Nell’ultima settimana è stato rilevato un picco di infezioni in diversi aree geografiche, tra cui prevalentemente Stati Uniti, Sud America (Brasile e Argentina), Europa (Inghilterra, Svizzera, Belgio), Asia (India, Singapore, Indonesia), Australia.

Gli esperti ritengono che il gruppo di cybercriminali responsabile di queste nuove campagne di infezione utilizzi attacchi a forza bruta a servizi RDP esposti sulla rete per violare da remoto singoli computer (tipicamente server Windows in reti aziendali) sui quali scaricano ed installano il malware direttamente.

Una volta infettata una macchina, SynAck cifra i file della vittima utilizzando algoritmi ECC (crittografia ellittica) e AES-256. Questo ransomware appende ai file cifrati un’estensione formata da dieci caratteri alfanumerici casuali: ad esempio, il file “test.jpg” viene rinominato in “test.jpg.XbMiJQiuoh”.

SynAck non segnala la sua presenza all’utente modificando l’immagine della scrivania, ma si limita a memorizzare sul desktop la nota di riscatto in un file denominato “RESTORE_INFO-[id].txt”, dove “[id]” è una stringa alfanumerica di 8 caratteri che rappresenta l’identificativo univoco assegnato dal malware alla vittima. Gli esperti hanno identificato tre diverse varianti di SynAck che utilizzato tre diversi formati per la nota di riscatto (vedi esempio nell’immagine).

Nota di riscatto di SynAck

Esempio di nota di riscatto di SynAck (indirizzi offuscati)

Questo ransomware non utilizza per il pagamento del riscatto un portale ospitato nel Dark Web ma richiede alle vittime di contattare direttamente gli autori via Email o utillizzando il protocollo BitMessage via Web. Per ottenere il programma in grado di decifrare i dati, SynAck richiede un riscatto in bitcoin variabile a seconda del tipo di vittima e del valore dei dati presi in ostaggio.

Al fine di prevenire la possibilità di cadere vittime di questa tipologia di minaccia informatica, si consiglia di prendere visione della Linea Guida del CERT Nazionale “Ransomware: rischi e azioni di prevenzione”.

Notizie correlate

Il nuovo ransomware Saturn attivo in-the-wild

19 febbraio 2018

Ricercatori di sicurezza hanno individuato Saturn, un nuovo esemplare di ransomware attivo in-the-wild, anche se il vettore di distribuzione non è al momento noto.Leggi tutto

SpriteCoin: il ransomware travestito da criptovaluta

26 gennaio 2018

Gli esperti di Fortinet hanno individuato un nuovo esemplare di ransomware che si spaccia per portafoglio di una fantomatica criptovaluta chiamata SpriteCoin.Leggi tutto

DeusCrypt e Insane: due varianti del ransomware open-source desuCrypt scoperte in-the-wild

23 gennaio 2018

Sono state individuate in-the-wild due varianti di ransomware, DeusCrypt e Insane, che utilizzano come codice di base il progetto open source desuCrypt.Leggi tutto