Cryptolocker: nuovo pesante attacco verso le utenze Italiane

E’ in corso da qualche giorno un nuovo e pesante attacco verso le utenze email italiane di una nuova variante del virus Cryptolocker. L’attacco sembra essere ben studiato, l’invio di queste email infette parte infatti da account SMTP, di utenti italiani, precedentemente compromessi (ovvero a cui è stata rubata nome utente e password), usa i loro stessi SMTP e quindi può trarre in inganno alcuni filtri antispam/antivirus in quanto arriva da IP la cui reputazione non è compromessa.

 

Dalle nostre rilevazioni l’attacco sembra partito nella giornata del 28/03/2016, momento in cui abbiamo visto alcune decine di account SMTP bloccati dall’antispam in uscita dei nostri SMTP in quanto stavano inviando email infette. Gli invii arrivavano in contemporanea da differenti indirizzi IP per cui la loro individuazione risultava immediata.

 

Da un punto di vista della ricezione queste email si presentano con un oggetto che varia fra alcuni di questi:

• Fwd: copia della fattura relativa al pagamento
• Fwd: motivo di rifiuto
• Fwd: copia originale della fattura
• Fwd: Il pagamento delle sanzioni
• Fwd: Modalità di pagamento
• Fwd: emissione e pagamento

l’oggetto quindi cambia spesso, rimane invariato l’allegato che si presenta sempre come un file .zip di 160729 byte il cui nome è in genere “attura_commerciale2016_MARZO.zip“.

 

Altri tipi di attacco, del tutto diversi dal precedente nella forma ma non nella sostanza, presentano messaggi non in lingua italiana con oggetto:

• Facture client N FC 5466229 du 30/03/2016
• Emailing: DOC 2402842.pdf

ed un allegato .zip ma con il nome che camuffa una doppia estensione tipo DOC841.tiff.zip,doc 4077617.JPG.zip, DOC 7345928.DOCX.zip e così via.

 

Pensare di impostare dei blocchi statici, come alcuni suggeriscono, per bloccare questi messaggi infetti non è ne la soluzione ne una strategia, i messaggi arrivano continuamente da IP diversi, gli oggetti cambiano nel giro di poche ore e si rischia di impiegare più tempo a capire cosa gli accomuna di quello che impiegano questi criminali a far partire una nuova variante.

 

Le soluzioni a cryptolocker sono almeno 4:

 

• fare formazioni agli utenti spiegando loro di non aprire email che sembrano sospette (anche se promettono rimborsi, pacchi da ritirare o se arrivano da mittenti conosciuti)
• disporre di un backup off-line (o su supporti non modificabili come DVD) dei propri dati
• dotarsi di un buon antivirus sul proprio PC e mantenerlo sempre aggiornato
• scegliere un Email Provider che garantisca massima attenzione ed aggiornamenti costanti dei propri antivirus

 

Per i primi 3 punti non rimane che fare affidamento ai responsabili d’azienda ed ai loro tecnici che gli seguono per la parte di manutenzione dei PC.

 

Per il quarto punto Qboxmail garantisce ai propri utenti il massimo dell’attenzione rispetto alle problematiche della diffusione dei virus via email. Da un lato monitoriamo e blocchiamo costantemente possibili invio di messaggi infatti che dovessero partire direttamente dai nostri server SMTP (a seguito del furto delle credenziali di accesso alle caselle email ai danni degli utenti). Dall’altro lato, quello della scansione dei messaggi in ingresso, ci impegniamo costantemente a mantenerci aggiornati ai migliori standard disponibili (proprio in queste settimane abbiamo selezionato ed aggiunto un nuovo fornitore di firme al nostro Antivirus).

 

Nello specifico sui nostri server MX sono presenti due livelli di controllo, ed eventuale blocco, delle email infette da “ransomware”. Il primo è mediante una scansione Antivirus basata su apposite e multiple “firme” 0-day dedicate all’individuazione di questo tipo di messaggi (https://www.malwarepatrol.net/). Il secondo livello è eseguito dal sistema Antispam che oltre al puro contenuto del messaggio (come fa l’antivirus) analizza anche la sua provenienza e la reputazione del mittente (sempre con l’ausilio di software commerciali dedicati a questo scopo). Questo doppio controllo permette di riuscire ad intercettare il più velocemente possibile le nuove varianti di questi virus.

 

Resta inteso che la sicurezza assoluta non esiste, che la protezione è sempre necessario applicarla a più livelli e che spesso il fattore più debole di questa catena è quello “umano”.