Rilevata campagna ransomware proveniente da banner di grossi siti web

Non è una novità che nel corso delle ultime settimane vi sia stata un'impennata nelle rilevazioni di attacchi ransomware. Si tratta di malware che prendono in ostaggio i file di un sistema "proteggendoli" via crittografia, chiedendo in seguito un riscatto che permette all'utente di ricevere la chiave crittografica e avere nuovamente l'accesso a quei file. Proprio per l'elevata minaccia e la diretta richiesta di denaro, è un tipo di attacco che viene sempre più preferito a quelli più tradizionali e "passivi" che conoscevamo in passato.

Stando ad una nuova nota di Trend Micro, nel corso del fine settimana è stata ravvisata una nuova ondata di crypto-ransomware che si sta diffondendo attraverso siti web "mainstream", ovvero estremamente popolari soprattutto negli Stati Uniti. L'attacco, noto come Angler Exploit Kit, sfrutta vulnerabilità presenti su Adobe Flash e Microsoft Silverlight, fra le altre, in modo da offrire il malware attraverso circuiti pubblicitari già compromessi.

Anche altre società di sicurezza hanno riscontrato la stessa problematica. Il fenomeno viene indicato come "malvertising" da MalwareBytes che ritiene che sia già stato in grado di colpire i siti di BBC, MSN, NFL ufficiale, New York Time, e molti altri, sotto forma di banner interattivi. La compagnia ha offerto un numero molto corposo di dettagli sul nuovo exploit, riportando anche una serie di domini sospetti attraverso i quali questi banner pubblicitari vengono serviti con i circuiti di divulgazione pubblicitaria più diffusi (anche Google).

La nuova campagna sottolinea come sia fondamentale adottare certi accorgimenti durante la navigazione web. Le varie società di sicurezza suggeriscono prima di tutto di ridurre le potenzialità che un attacco vada a buon fine, come ad esempio disinstallando a priori tutto il software vulnerabile: fra questi Adobe Flash, Oracle Java e Microsoft Silverlight. È inoltre indispensabile utilizzare le ultime versioni di sistema operativo e browser, e nel caso di Chrome installare la variante dell'eseguibile a 64-bit.

Una volta che attecchiscono su una macchina i ransomware sono attacchi difficili da contrastare, a tal punto che gli esperti di sicurezza consigliano spesso di pagare il riscatto, almeno in presenza di file molto importanti. Ovviamente è preferibile prevenire installando un anti-virus e mantenendolo aggiornato, oppure diffidando di file provenienti da origini sconosciute o sospette. Si rivela una pratica parecchio sicura e affidabile quella di mantenere un backup dei file sensibili, pratica che rende sostanzialmente innocuo qualsiasi cryptovirus.

Stando a quanto rivela SpiderLabs il ransomware utilizzato da questi attacchi è TeslaCrypt, che abbiamo visto recentemente anche in Italia e in grado di infettare solo macchine Windows. Ma questo tipo di malware è attecchito di recente anche su Mac OS X con KeRanger, di cui abbiamo parlato diffusamente in questa pagina.