7 Aprile 2017

Cryptolocker alert: Italia sotto attacco. Campagna di diffusione via PEC

E' in corso una campagna di diffusione via PEC

Cryptolocker alert: Italia sotto attacco

Il ransomware Cryptolocker è ormai una nostra vecchia conoscenza. L'ultima versione, che si presenta col nome Crypt0L0cker, viene distribuita a più riprese con incessanti campagne di spam che prendono di mira Stati (tavolta Continenti) diversi, con una particolare attenzione per l'Europa e per l'Australia. In questi giorni è in corso una vasta campagna di distribuzione in Europa.

 

Stiamo ricevendo infatti, in questi giorni, moltissime richieste di aiuto per la decriptazione e di queste una buona quota proviene da vittime italiane. La stessa cosa, che ci dà appunto conferma della campagna di distribuzione, sta facendo Lawrance Abrams di BleepingComputer, anch'esso sommerso di richieste di aiuto. Conferma che il sito ID Ranmsomware (utile a individuare il tipo di ransomware di cui si è rimasti vittima caricando un file criptato e la richiesta di riscatto) ha registrato dati allarmanti: se a Gennaio il numero si assestava intorno a 100, in pochi giorni a metà Febbraio si sono registrati oltre 400  invii relativi a Crypt0L0cker.  Abrams ha poi chiesto al Microsoft Malware Protection Center conferma dell'effettiva campagna di distribuzione e i dati ottenuti sono chiarissimi, come si può vedere nella foto sotto.

cryptoloker-alert-europe-map

Fonte: Microsoft Malware Protection Center

Fonte: Microsoft Malware Protection Center

Fonte: Microsoft Malware Protection Center

La campagna contro l'Italia...

Unendo le nostre segnalazioni a quelle di un altro sito informativo italiano, Ransomware.it, possiamo affermare che il tramite privilegiato di diffusione sono email di SPAM: la cosa è non è nuova, anzi comunissima. La novità è che le email di invio sono PEC (probabilmente per darsi un tono di "ufficialità" apparente), quindi teoricamente validate legalmente, recanti in allegato delle fatture. L'oggetto della mail è del tipo "Invio fattura n.XXXXXX" e contiene un allegato .js il cui nome è solitamente fattura_xxxxxx.js (dove xxxxxx sono 5 numeri).
Il testo della email è:"In allegato originale del documento in oggetto, non sarà effettuato alcun invio postale, se non specificatamente richiesto. Il documento dovrà essere stampato su formato cartaceo e avrà piena validità fiscale e, come tale, soggetto alle previste norme di utilizzo e conservazione."

Fonte: Ransomware.it

Fonte: Ransomware.it

Perchè questa campagna è così pericolosa?

La cosa è molto pericolosa, dato che la Posta Elettronica Cerificata è ritenuta molto sicura: viene validata legalmente, deve essere firmata tramite firma digitale depositata e ha lo stesso valore di un documento legalmente registrato.  E' molto probabile quindi che stiano avvenendo furti di credenziali di PEC. Le mail dalle quali, per ora, si sono registrati invii sono:

531608465@legalmail.it,
409018@legalmail.it ,
posta-certificata@legalmail.it,
posta-certificata@sicurezzapostale.it
Alcune recano regolari firme  digitali, altre no. FATE MOLTA ATTENZIONE!

Le ultime dal blog

OS1 RELEASE 5.5 - Nuove funzionalità, Bug risolti, Nuovi Moduli rispetto alla precedente 5.4

MIGLIORIE FUNZIONALI, BUG RISOLTI E NUOVI MODULI ELENCO COMPLETO CLICCA SOTTO E SCARICA: Guida_di_release_55 Nuovi_Moduli_55   SINTESI […]

Ultima versione di OS1 Rilasciata

Ultima versione di Os1 Rilasciata 5.5 Ultima versione di OS1 Rilasciata 5.5 Informativa disponibilità nuova versione software […]

OS1 Aggiornamento software

Gestionale Os1 aggiornamento. Premessa generale: aggiornare la versione del software gestionale è importante per diversi motivi: Nuove […]

Contattaci per ricevere informazioni


    Copyright 2020 - Caronni srl • P.I: 00881350961 • C.F: 07983290151 • REA: MB 1195603 • PEC: caronni@pec.caronni.it • Privacy e cookie policy
    menuchevron-downcross-circle linkedin facebook pinterest youtube rss twitter instagram facebook-blank rss-blank linkedin-blank pinterest youtube twitter instagram