Gli hacker stanno cercando di rubare le credenziali dalla posta aziendale inviando liste di e-mail di spam in quarantena
Cosa fate quando un’e-mail non richiesta arriva nella vostra casella di posta del lavoro? A meno che voi non siate un analista di spam, molto probabilmente la cancellate e basta. Paradossalmente, questo è esattamente ciò che alcuni phisher vogliono e, come risultato, ultimamente le nostre trappole di posta hanno visto sempre più e-mail che sembrano essere notifiche di messaggi ovviamente indesiderati.
Come funziona
I criminali informatici, contando sull’inesperienza degli utenti in materia di tecnologie antispam, inviano notifiche agli impiegati aziendali sulle e-mail che presumibilmente arrivano al loro indirizzo e sono messe in quarantena. Questi messaggi assomigliano a questo:
False notifiche sulle e-mail in quarantena.
La scelta dell’argomento è generalmente poco importante, i criminali informatici copiano semplicemente lo stile di altre pubblicità per beni e servizi non richiesti e forniscono pulsanti per cancellare o mantenere ogni messaggio. Fornisce anche un’opzione per eliminare tutti i messaggi in quarantena in una volta sola o per aprire le impostazioni della casella di posta. Gli utenti ricevono anche istruzioni visive:
Istruzioni visive inviate dai truffatori.
Qual è il trucco?
Naturalmente, i pulsanti non sono quello che sembrano. Dietro ogni pulsante e collegamento ipertestuale si trova un indirizzo che porta chi clicca a una finta pagina di login, che sembra l’interfaccia web di un servizio di posta:
Sito di phishing.
Il messaggio “Sessione scaduta” ha lo scopo di convincere l’utente ad accedere. La pagina ha uno scopo, ovviamente: raccogliere le credenziali di posta aziendale.
Indizi
Nell’e-mail, la prima cosa che dovrebbe attirare la vostra attenzione è l’indirizzo del mittente. Se la notifica fosse reale, dovrebbe provenire dal vostro server, che ha lo stesso dominio del vostro indirizzo di posta, non, come in questo caso, da una società sconosciuta.
Prima di cliccare qualsiasi link o pulsante su un messaggio, controllate dove vi reindirizzano, passando sopra il cursore del mouse. In questo caso, lo stesso link è collegato in tutti gli elementi attivi, e porta a un sito web che non ha alcuna relazione né con il dominio del destinatario né con quello ungherese del mittente. Questo include il pulsante che presumibilmente invia una “richiesta HTTP per togliere tutti i messaggi dalla quarantena”. Lo stesso indirizzo dovrebbe servire come campanello d’allarme sulla pagina di login.
Come evitare lo spam e phishing
Per evitare di abboccare all’amo, gli utenti aziendali devono avere familiarità con il playbook di base del phishing.
Uno strumento online di facile gestione che sviluppa livello per livello le competenze dei dipendenti in materia di cybersecurity è la Piattaforma Kaspersky Automated Security Awareness (ASAP).
Naturalmente, è meglio prevenire gli incontri tra gli utenti finali e le e-mail pericolose e i siti web di phishing in primo luogo. Per questo, occorre usare soluzioni antiphishing sia a livello di mail server che sui computer degli utenti.
Per ulteriori informazioni sulle soluzioni antiphishing e sulla Piattaforma ASAP di Kaspersky: dircom@argonavis.it
Avete ricevuto un’e-mail di conferma per un acquisto che non avete fatto e che contiene un numero di telefono per contattare l’azienda? Attenzione, si tratta di vishing.
Con la quantità colossale di truffe telefoniche in circolazione di questi tempi, è difficile trovare un proprietario di un numero di telefono, in qualsiasi parte del pianeta, che non sia stato almeno una volta bersaglio dei truffatori. Ma come tutte le forme di quelle che vengono denominate “chiamate a freddo”, anche per le truffe telefoniche sono necessarie molte risorse e spesso non portano a risultati. Per questo motivo, alcuni truffatori hanno cercato di ottimizzare il processo, facendo sì che siano le potenziali vittime a chiamare. E per farlo, si servono del caro, vecchio spam.
“Se non avete effettuato questo acquisto, chiamateci”
Abbiamo rilevato di recente diverse ondate di e-mail di spam, apparentemente da aziende rispettabili, che notificano ai destinatari l’avvenuta transazione per acquisti considerevoli. L’oggetto in questione è di solito un dispositivo di gamma alta come l’ultimo Apple Watch o un computer portatile per il gaming, acquistato su Amazon o pagato tramite PayPal.
False conferme di acquisto su PayPal/Amazon con numeri di telefono di vishing.
Di tanto in tanto spuntano varianti più originali. Per esempio, abbiamo rilevato un’e-mail riguardo l’acquisto di “Criptovaluta (Bitcoin)” per il valore di 1.999 dollari:
Finta notifica PayPal, che acclude il numero di telefono dei truffatori, di un acquisto di una voce denominata “criptovaluta (Bitcoin)”.
Altre notifiche simili menzionano l’acquisto di licenze di software di sicurezza, ne abbiamo viste alcune che si riferiscono a Norton e persino a Kaspersky (anche se la nostra linea di prodotti non ha mai incluso un software che si chiamasse “Kaspersky Total Protection”).
False notifiche sull’acquisto di licenze Norton e “Kaspersky Total Protection” con numeri di telefono di vishing.
La truffa si basa sulla speranza che i destinatari, allarmati per la perdita di una somma considerevole di denaro, agiscano in modo avventato per poter recuperare i propri soldi.
Naturalmente, il denaro in questione non è andato da nessuna parte, almeno non ancora. Questo particolare tipo di e-mail di spam non contiene link, ma include un numero di telefono che la vittima è invitata a chiamare se vuole modificare o annullare l’ordine. A volte il numero si trova discretamente da qualche parte in fondo al testo, altre volte è evidenziato in rosso e ripetuto più volte nel messaggio.
Cosa succede se chiamate? Molto probabilmente i truffatori cercheranno di strapparvi le credenziali di accesso a qualche servizio finanziario o i dati della vostra carta di credito. In alternativa, potrebbero cercare di indurvi a trasferire del denaro o persino a installare un Trojan sul vostro computer, cosa che è già successa. Gli unici limiti sono l’immaginazione e le abilità di vishing dei truffatori.
Come difendersi da e-mail di questo tipo
I dettagli possono cambiare, ma tutte le truffe hanno alcuni elementi in comune: l’uso di uno stratagemma per convincere qualcuno a fare qualcosa. Il vishing non è diverso. Seguite queste linee guida per la sicurezza per dormire sonni tranquilli:
Non richiamate;
Accedete al vostro account del servizio coinvolto, digitando l’indirizzo nel vostro browser. Non cliccate su nessun link nel messaggio e controllate i vostri ordini o la pagina delle attività recenti;
Esaminate il vostro saldo e l’elenco delle transazioni recenti su tutte le vostre carte, soprattutto se individuate motivi per preoccuparvi;
Installate una soluzione antivirus affidabile, che vi protegga da attacchi di questo tipo, dal phishing e dalle truffe online.
Gli spammer stanno usando macro dannose per distribuire malware bancari IcedID e Qbot in documenti apparentemente importanti
Per gli impiegati che devono affrontare centinaia di e-mail, la tentazione di leggere velocemente e scaricare gli allegati in automatico può essere grande. I criminali informatici, naturalmente, ne approfittano, inviando documenti apparentemente importanti che potrebbero contenere qualsiasi cosa, dai link di phishing a malware. I nostri esperti hanno recentemente scoperto due campagne di spam molto simili che distribuiscono i trojan bancari IcedID e Qbot.
Spam con documenti dannosi
Entrambe le e-mail si spacciavano per corrispondenza commerciale. Nel primo caso, i criminali informatici chiedevano un risarcimento per qualche motivo fraudolento o dichiaravano qualcosa sull’annullamento di un’operazione. Allegato al messaggio c’era un file Excel con zip chiamato CompensationClaim più una serie di numeri. Il secondo messaggio di spam aveva a che fare con dei pagamenti e contratti e includeva un link al sito web violato dove era conservato l’archivio contenente il documento.
In entrambi i casi, l’obiettivo degli aggressori era quello di convincere il destinatario ad aprire il file Excel dannoso ed eseguire la macro in esso contenuta, scaricando così IcedID o (meno comunemente) Qbot sul dispositivo della vittima.
IcedID e Qbot
I trojan bancari IcedID e Qbot sono in circolazione da anni, con IcedID arrivato per la prima volta all’attenzione dei ricercatori nel 2017 e Qbot in servizio dal 2008. Inoltre, i cybercriminali stanno costantemente affinando le loro tecniche. Ad esempio, hanno nascosto il componente principale di IcedID in un’immagine PNG utilizzando una tecnica chiamata steganografia che è piuttosto difficile da rilevare.
Oggi, entrambi i programmi malware sono disponibili sul mercato ombra; oltre ai loro creatori, numerosi clienti distribuiscono i Trojan. Il compito principale del malware è quello di rubare i dettagli della carta di credito e le credenziali di accesso ai conti bancari, preferibilmente conti aziendali (da qui le e-mail di tipo aziendale). Per raggiungere i loro obiettivi, i Trojan utilizzano vari metodi. Per esempio, possono:
Inserire uno script dannoso in una pagina web per intercettare i dati inseriti dall’utente;
Reindirizzare gli utenti dell’online banking a una falsa pagina di login;
Rubare i dati salvati nel browser.
Qbot può anche registrare le sequenze di tasti per intercettare le password.
Purtroppo, il furto dei dati di pagamento non è l’unico problema che si presenta alle vittime. Per esempio, IcedID può scaricare altri malware, incluso il ransomware, sui dispositivi infetti. Nel frattempo, i trucchi di Qbot includono il furto di thread di e-mail da utilizzare in ulteriori campagne di spam, e fornire ai suoi operatori l’accesso remoto ai computer delle vittime. Sulle attrezzature da lavoro in particolare, le conseguenze possono essere gravi.
Come rimanere al sicuro dai trojan bancari
Non importa quanto astuti possano essere i criminali informatici, non è necessario reinventare la ruota per restare al sicuro. Entrambe le campagne di spam in questione si basano sul fatto che i destinatari compiano azioni rischiose, se, invece, non apriranno il file dannoso e non lasceranno eseguire la macro, lo schema semplicemente non funzionerà. Per ridurre le possibilità di diventare una vittima:
Controllate l’identità del mittente, incluso il nome del dominio. Qualcuno che afferma di essere un appaltatore o un cliente aziendale ma usa un indirizzo Gmail, per esempio, può essere sospetto. E se semplicemente non sapete chi è il mittente, controllate insieme ai colleghi;
Proibite le macro di default, e trattate con sospetto i documenti che richiedono di abilitare le macro o altri contenuti. Non eseguite mai una macro a meno che non siate assolutamente sicuri che il file ne abbia bisogno, e che sia sicuro;
Installate una soluzione di sicurezza affidabile. Se lavorate su un dispositivo personale, o il vostro datore di lavoro è poco rigoroso quando si tratta di protezione della workstation, assicuratevi che sia protetta. I prodotti Kaspersky rilevano sia IcedID che Qbot.
Durante l’anno della pandemia di Covid-19 il concetto di email security ha assunto un ruolo di primo piano: le nostre modalità di comunicazione sono cambiate (basti pensare al lavoro da remoto), i contenuti delle comunicazioni hanno visto ondate di argomenti quasi esclusivamente legati all’evento pandemico (soprattutto in concomitanza con i principali provvedimenti restrittivi), gli aspetti legati alla sicurezza, alla privacy, agli attacchi di phishing e alla distribuzione di malware sono stati pesantemente condizionati dalla pandemia.
Se vogliamo, l’evento pandemico ha ancora più messo in evidenza la rilevanza del fattore umano nella sicurezza delle comunicazioni elettroniche.
Email security: il fenomeno phishing durante la pandemia
Ricordiamo che una campagna di phishing efficace è caratterizzata da tre elementi principali: il presentarsi come una fonte autorevole, la capacità di catturare l’attenzione della vittima, quella di instillare un senso di urgenza al fine di indurre a compiere un’azione dannosa come aprire un allegato malevolo, cliccare su un link, fornire credenziali o informazioni confidenziali.
Autorevolezza, cattura dell’attenzione, senso di urgenza, call-to-action: se ci facciamo caso, parliamo esclusivamente di leve che agiscono su aspetti affatto tecnici ma legati ai comportamenti umani.
Non è difficile immaginare come un evento eccezionale quale la pandemia con tutto il suo carico emotivo, il flusso continuo di nuove informazioni, il susseguirsi di provvedimenti normativi, i cambiamenti delle modalità di lavoro e delle abitudini di vita, abbia creato un terreno molto fertile per gli autori di campagne di phishing.
Il seguente grafico mostra l’andamento nel 2020 delle mail legittime legate alla pandemia di COVID-19.
Andamento delle mail legittime a tema COVID-19
A inizio anno abbiamo una progressiva crescita di comunicazioni che perdura circa un mese e mezzo e che inizia a decrescere solo dopo il primo lockdown. Segue un grande picco successivo ai primi allentamenti del lockdown.
In questo periodo si susseguono incessantemente provvedimenti normativi e disposizioni organizzative. È del 13 maggio la “legge rilancio” mentre il 15 maggio un decreto delinea il quadro generale all’interno del quale gli spostamenti verranno limitati da ordinanze statali, regionali e comunali.
Seguono innumerevoli ordinanze, interpretazioni e chiarimenti oltre a decreti che progressivamente vanno ad autorizzare la ripresa di ulteriori attività. A tutto questo si affiancano informazioni e aggiornamenti sull’andamento della pandemia, sullo stato del sistema sanitario, sugli studi clinici che contribuiscono ad una crescente conoscenza del fenomeno.
Indicativamente, in questo periodo il 10% delle nostre mailbox conteneva mail a tema COVID-19. Ricordo che stiamo ancora parlando di comunicazioni legittime, ovvero non malevole, che esplicitamente menzionano la pandemia. È un indice dell’attenzione che il tema ha avuto nel corso del tempo.
Quello che segue è invece l’andamento delle mail indesiderate a tema COVID-19 che sono state intercettate dai sistemi di filtraggio della posta elettronica. Oltre a mail di spam vero e proprio relative a prodotti e servizi (mascherine, gel, termoscanner, guanti, test antigenici, tamponi, improbabili prodotti anti-Covid, servizi finanziari per fronteggiare l’emergenza, eccetera) questo flusso contiene anche mail di phishing e distribuzione di malware che sfruttano l’alto livello di attenzione legato alla pandemia.
Andamento delle mail indesiderate a tema COVID-19
L’andamento delle mail indesiderate è più regolare: nel mese di marzo c’è stata una rapida crescita che poi si è più o meno stabilizzata. Da agosto in poi c’è stata una progressiva lenta decrescita. Questo grafico ci dice che il tema è stato rapidamente adottato da chi intendeva abusarne ed è stato progressivamente abbandonato solo quando ha iniziato a perdere di efficacia.
Email security: le tattiche usate negli attacchi phishing
Quali tattiche sono state utilizzate nelle mail di phishing? Tra le più aggressive abbiamo notato campagne massive di finte mail di licenziamento. La mail, che si spaccia per una comunicazione proveniente dal dipartimento risorse umane, comunica al malcapitato il suo licenziamento in tronco giustificato dall’emergenza COVID. L’esempio che segue, nonostante sia scritto in inglese, è stato inviato a numerosi dipendenti italiani di aziende multinazionali.
Campagna di phishing, finto licenziamento causa COVID
L’allegato di queste mail è un file html che punta a carpire le credenziali dell’utente.
Allegato malevolo per carpire credenziali
Naturalmente anche i tentativi di truffa massivi e di bassa qualità sono stati prontamente declinati a tema COVID. Vincite improvvise, donatori inattesi e le classiche truffe “alla nigeriana” hanno adottato le parole chiave legate alla pandemia nel tentativo di guadagnare maggiore visibilità e credibilità.
Truffa a tema COVID
Numerose e più subdole le mail che, spacciandosi per organismi istituzionali, come ad esempio l’Organizzazione Mondiale della Sanità, avvisavano di presunti allarmi per la presenza di cluster di contagio nell’area.
Campagna di phishing che si spaccia per OMS
Altrettanto diffuse le campagne di phishing legate alla ripresa delle attività produttive con finte email del MEF o di altri organismi istituzionali veicolanti malware.
Campagna di phishing che si spaccia per il MEF
L’utilizzo di nomi e loghi istituzionali conferisce una percezione di autorevolezza che abbassa le difese, in particolare in un momento in cui la paura e l’emotività sono ancora alte.
Con l’arrivo dell’app Immuni le campagne di phishing hanno incominciato a sfruttare questo nuovo filone. La seguente immagine è tratta da un sito di phishing che riproduce una finta pagina del Play Store di Google:
Finta app Immuni su un finto Google Play Store
L’anno si è chiuso con l’arrivo del cashback e non potevano mancare campagne di phishing a tema cashback o SPID.
Phishing sul cashback di Stato
Finto sito di Poste Italiane
Anche nelle campagne di email malevole vige una sorta di meccanismo di selezione naturale. Le tecniche che si dimostrano più efficaci vengono copiate si diffondono rapidamente a discapito di quelle meno efficaci.
La rapida diffusione delle campagne di phishing a tema COVID-19, in tutte le sue declinazioni, ci ha fornito una misura di quanto sia rilevante il ruolo della componente emotiva e di quanto, a parità di condizioni tecniche, sia il fattore umano a fare la differenza.
L’andamento nel corso dell’anno
Il seguente grafico mostra la percentuale di email intercettate dai sistemi di email security sul totale del traffico. Da settembre in avanti la media cala ma si tratta di oscillazioni frequenti e dipendenti da una tale quantità di variabili da non rappresentare in sé un trend particolarmente significativo.
Andamento dello spam nel 2020
Malware allegato a messaggi di posta
Già lo scorso anno avevamo rilevato la progressiva perdita di efficacia di sistemi di protezione reattivi, ovvero progettati per intercettare minacce note. Questo approccio (tendenzialmente basato su ricerca di pattern noti) è particolarmente inefficace in presenza di malware polimorfico e nuove varianti, le quali si trovano di fronte a finestre di opportunità di molte ore all’interno delle quali possono transitare senza essere intercettate.
L’approccio proattivo basato sulla rimozione delle istruzioni che abilitano alla realizzazione di un dropper (il codice che installa il malware sul computer della vittima) è l’unico che offre una copertura anche contro nuove varianti e malware polimorfico.
Il seguente grafico mostra l’andamento nel corso dell’anno dei sistemi di sandboxing di nuova generazione da noi monitorati. In rosso i file che sono stati bloccati perché riconosciuti come malevoli. In giallo i file che sono stati neutralizzati grazie all’approccio poc’anzi descritto e che non sono stati intercettati dai sistemi reattivi basati su pattern e signature. In verde i file contenenti codice attivo legittimo (come le macro legittime di un file Excel).
Allegati trattati da QuickSand
Nel corso dell’anno abbiamo osservato l’utilizzo di nuove tecniche di realizzazione di dropper.
In gennaio ha iniziato a circolare del malware basato su macro in documenti Office che, al fine di eseguire codice senza essere rilevato come malevolo, usava alcune callback VBA (Visual Basic for Applications) che vengono invocate prima di attivare una connessione. Il trucco consiste nell’inserire del contenuto remoto nel documento al fine di indurre Office ad invocare queste macro (il cui nome termina per _onConnecting). Attraverso queste callback è possibile eseguire codice senza invocarlo apertamente, consentendo di svicolare attraverso alcuni sistemi di protezione.
In maggio abbiamo visto un utilizzo smodato (come sempre, una tecnica efficace viene rapidamente copiata da altri attori) delle macro-formule di Office. Si tratta di una vecchissima funzionalità che precede l’introduzione del VBA e di cui quasi nessuno si ricordava più. Un po’ come era successo un paio di anni prima con il DDE.
In termini di nuove modalità di attacco degne di menzione, questo è tutto. Si conferma la tendenza prevalente ad affinare le tecniche di attacco e ad aggirare i sistemi di protezione ricorrendo al polimorfismo e ad un grande numero di nuove varianti.
Attacchi attraverso link
È più facile riuscire a consegnare una mail con un link piuttosto che una mail con allegato un malware, questo è il motivo per cui molti attacchi vengono condotti in questo modo.
I link spesso puntano a siti legittimi che sono stati appena compromessi e che quindi hanno una buona reputazione.
Qual è la percentuale di email che contiene almeno un link? Questo grafico mostra questo valore nel corso del 2020.
Percentuale di email contenenti almeno un link
Naturalmente tutte le mail che contengono un link ad un sito noto come pericoloso vengono intercettate e bloccate ma, come detto prima, in molti casi si tratta di un link ad un sito legittimo appena compromesso o comunque di un sito non ancora noto come pericoloso.
Questo è il motivo per cui è importante che i link vengano verificati anche al momento del click, con un sistema di sandboxing dei link che, visitando prima dell’utente la pagina, blocchi la visita in caso di pericolo.
Quanti sono i link che vengono intercettati da questa ultima rete di protezione? Ce lo dice il grafico che segue.
Percentuale di clic intercettati da UrlSand
Come vediamo si tratta di numeri piccoli, il picco non arriva allo 0,9%. Se in percentuale il valore sembra piccolo, parliamo comunque di diversi milioni di click ciascuno dei quali avrebbe potuto portare ad una compromissione.
Dove sono localizzati i siti a cui puntano questi link malevoli? La seguente mappa ci indica la distribuzione.
Distribuzione geografica siti di malware
Questa è di fatto la distribuzione dei siti che vengono utilizzati per la distribuzione di malware e phishing indirizzati verso utenti italiani.
Conclusioni
Ad oggi le mail malevole sono divenute praticamente indistinguibili dal punto di vista tecnico dalle mail legittime.
È ampiamente diffuso l’abuso di account di posta legittimi (o di servizi commerciali di invio massivo di messaggi di marketing) per l’invio di malware e phishing. Questo rende le mail malevole tecnicamente identiche a quelle legittime. La differenza la fa il contenuto.
D’altro canto intercettare una mail malevola in base alle sue caratteristiche tecniche è più facile che farlo in base al suo contenuto. Estrapolare concetti come “attrarre l’attenzione”, “spacciarsi per una fonte autorevole”, “fare leva sull’emotività o sull’impulsività” è una sfida tecnica assai più complessa rispetto al basarsi su elementi tecnici ben più definiti. Questo rende l’email security una disciplina che diviene sempre più specialistica e complessa.
Intelligenza artificiale e machine learning sono concetti generici, tutt’altro che nuovi. Sono in uso da decenni in questo settore ma hanno visto una grande evoluzione negli ultimi anni proprio per via di questa tendenza che il settore della email security ha preso: una progressiva riduzione dei “segnali” di ordine tecnico utili a discriminare traffico legittimo da traffico non legittimo e una conseguente crescente rilevanza di “segnali” legati al contenuto.
L’ultima evoluzione riguarda un particolare aspetto del machine learning che è legato alla mappatura delle relazioni tra corrispondenti di posta elettronica. Con l’obiettivo di ricostruire qualcosa di più simile possibile al concetto di “fiducia” che nelle conversazioni mediate va perso.
In una conversazione in presenza il volto, il tono della voce, la gestualità veicolano una mole di informazioni enorme. È principalmente su queste informazioni, oltre che sulla storia della relazione, che inconsciamente stabiliamo il livello di fiducia nell’interlocutore.
Come ricostruire qualcosa di simile al concetto di fiducia in una comunicazione elettronica mediata come quella attraverso la posta elettronica?
Tenendo traccia dello storia e dei pattern di comunicazione tra individui un algoritmo può cercare di stimare l’affinità tra due interlocutori stimando il livello di fiducia. L’analisi dei pattern di comunicazione consente anche di rilevare anomalie e identificare abusi (ad esempio un account takeover) o tentativi di spoofing.
Questa è la prossima frontiera della email security che i vari vendor declineranno, come sempre, ciascuno a modo suo con nomi diversi (“Adaptive Trust Engine” nel caso di Libraesva) e con risultati più o meno efficaci perché non è lo strumento in sé ma il modo in cui lo si utilizza a determinarne l’efficacia.
Quando il gruppo ransomware Fonix ha improvvisamente annunciato la fine della sua attività e ha pubblicato la master key per decifrare i file criptati, i nostri esperti hanno immediatamente aggiornato il tool Rakhni Decryptor per automatizzare il processo. Potete scaricarlo proprio qui.
L’esempio di Fonix illustra ancora una volta perché, anche se non avete intenzione di pagare il riscatto (ed è una scelta intelligente), dovreste comunque mantenere i dati cifrati. Non tutti i criminali informatici si pentono e pubblicano le loro chiavi (o vengono catturati e i loro server confiscati), ma se a un certo punto le chiavi diventano disponibili, è possibile utilizzarle per ripristinare l’accesso alle vostre informazioni, ma solo se le avete conservate ovviamente.
Perché Fonix era considerato pericoloso
Il ransomware Fonix era conosciuto anche come Xinof. I criminali informatici hanno utilizzato entrambi i nomi, e i file cifrati sono stati rinominati con entrambe le estensioni, .xinof o .fonix. Gli analisti hanno descritto il ransomware come abbastanza aggressivo: oltre a cifrare i file sui sistemi delle vittime, il malware manipolava il sistema operativo per ostacolare gli sforzi di rimozione. Cifrava praticamente tutti i file sul computer obiettivo, lasciando solo quelli critici per il sistema operativo.
Gli autori del malware hanno creato Fonix seguendo il modello di ransomware-as-a-service (RaaS), lasciando ai client il compito di occuparsi degli attacchi effettivi. Più o meno a partire dalla scorsa estate, sui forum dei cybercriminali è apparsa un’intensa attività di pubblicità del malware. Chi si serviva del ransomware all’inizio poteva farlo gratuitamente, dando a Fonix un vantaggio competitivo: gli autori prendevano solo una percentuale di qualsiasi riscatto ottenuto.
Di conseguenza, varie campagne non collegate tra loro hanno aiutato il malware a diffondersi, di solito attraverso messaggi di spam. E così Fonix ha colpito sia i singoli utenti che le aziende. Fortunatamente, il ransomware non ha guadagnato una grande popolarità, quindi le vittime sono state relativamente poche.
Il cybercrimine dentro il cybercrimine
Nel suo annuncio, il gruppo Fonix ha dichiarato che non tutti i membri erano d’accordo con la decisione di chiudere. L’amministratore del suo canale Telegram, per esempio, sta cercando di vendere il codice sorgente del ransomware e altri dati. Tuttavia, quel codice non è reale (almeno, secondo l’account Twitter del gruppo Fonix), quindi è essenzialmente una truffa rivolta agli acquirenti del malware. Anche se le uniche vittime potenziali qui sono altri cybercriminali, si tratta comunque di una truffa.
Le ragioni di questa scelta
L’amministratore del progetto FonixCrypter ha detto che non ha mai avuto intenzione di impegnarsi in attività criminali, ma la crisi economica lo ha portato a creare il ransomware. In seguito ha cancellato il codice sorgente e, mosso dalla coscienza sporca, si è scusato con le vittime e ha pubblicato la master key. In futuro, ha riferito, ha intenzione di impiegare la sua conoscenza di analisi dei malware per scopi più nobili e spera che i suoi colleghi si uniranno a lui in questa impresa.
Come difendersi dai ransomware
Fonix non è più un problema; tuttavia, nel 2021 esistono altre tipologie di ransomware e sono più attivi che mai. Il nostro consiglio per stare al sicuro è sempre lo stesso:
Diffidate delle e-mail con allegati;
Non eseguite file ottenuti da fonti non verificate;
Utilizzate soluzioni di sicurezza su tutti i dispositivi di casa e di lavoro che hanno accesso a Internet;
Eseguite copie di backup di tutti i dati critici e custoditeli su dispositivi non collegati alla rete.
I prodotti Kaspersky per utenti privati e aziende rilevano Fonix (e altri ransomware) in modo proattivo. Inoltre, i nostri file scanner identificano Fonix prima che abbia la possibilità di essere eseguito.
Per ribadire: se siete vittima del ransomware Fonix, potete recuperare i vostri dati utilizzando il nostro strumento RakhniDecryptor 1.27.0.0, che potete scaricare da NoRansom.kaspersky.com
