L’evoluzione di Locky.
I criminali informatici ormai sviluppano aggiornamenti quasi costanti per una delle più comuni e dannose famiglie di malware crittatori di file. Il nuovo ransomware si chiama Osiris, dal dio egizio dell’oltretomba, e presenta caratteristiche migliorate, progettate per attaccare i backup senza essere rilevati.
Per aiutarci a prevenire tali attacchi arriva Acronis Active Protection l’unica tecnologia – contenuta in Acronis True Image 2017 New Generation – in grado di bloccare tutte le versioni degli attacchi del ransomware Osiris. Non solo: è anche in grado di ripristinare immediatamente i dati criptati senza contattare i truffatori o pagare un riscatto.
Di seguito il comunicato integrale:
Osiris ransomware: la famiglia Locky si allarga
Sai come difenderti?
Milano, 6 febbraio 2017 – Il ransomware Locky ha subito un ennesimo “lifting”: i criminali informatici sviluppano aggiornamenti per una delle più comuni e dannose famiglie di malware crittatori di file. Il nuovo ransomware si chiama Osiris, dal dio egizio dell’oltretomba, e presenta caratteristiche migliorate, progettate per attaccare i backup senza essere rilevati. Questo aggiunge l’estensione .orisis alla fine dei file criptati e segue il modello standard delle infezioni ransomware: invadi, cripta, estorci. Sull’onda del successo di Locky, Osiris è una delle minacce alla sicurezza informatica più gravi che gli utenti di computer si trovano oggi ad affrontare.
Locky è stato scoperto per la prima volta nel febbraio 2016 e da allora ha subito almeno sette mutazioni, nel tentativo di tener testa ai fornitori di prodotti di sicurezza in grado di rilevare e arrestare questo tipo di ransomware.
- .locky — Febbraio 2016
- .zepto — Giugno 2016. Un mese dopo, Locky ha iniziato a supportare la criptazione offline con chiavi RSA implementate, in caso non fosse in grado di raggiungere i suoi server C&C.
- .odin — Settembre 2016
- .shit, .thor — Ottobre 2016
- .aesir — Novembre 2016
- .zzzzz, .osiris — Dicembre 2016
Alcuni ricercatori hanno inoltre rilevato che Osiris colpisce anche i dispositivi Apple Mac e Android.
Come difendersi
Acronis ha sviluppato una tecnologia di nuova generazione che impedisce in modo proattivo le infezioni zero-day, consentendo agli utenti di prevenire attacchi ransomware e di recuperare i dati senza pagare alcun riscatto. Ieri abbiamo scoperto una nuova mutazione del ransomware Osiris, che ha eluso facilmente Windows Defender. Oggi non è stato altrettanto fortunato, ma esiste già una nuova versione che si è di nuovo presa gioco del software di sicurezza tradizionale.
Acronis Active Protection™ è l’unica tecnologia in grado di bloccare tutte le versioni degli attacchi del ransomware Osiris. Non solo: è anche in grado di ripristinare immediatamente i dati criptati senza contattare i truffatori o pagare un riscatto. Questo è possibile grazie all’integrazione con Acronis Cloud. L’unica accortezza è che deve essere attivo sul proprio computer quando il ransomware colpisce.
L’infezione del Dipartimento di Polizia di Cockrell Hill in Texas, che ha causato la perdita di otto anni di dati di prove critici, si sarebbe potuta evitare se qui fosse stato installato il prodotto Acronis.
Ecco alcuni dettagli del nuovo ransomware Osiris.
- Osiris è la 7ª generazione del ransomware / cripto-virus Locky, tradizionalmente diffuso attraverso campagne SPAM;
- È difficile da rilevare in quanto utilizza componenti Windows standard per scaricare ed eseguire il payload (script e librerie);
- Osiris ha il rilevamento della virtualizzazione integrato, il quale complica il lavoro di debugging e di retro-ingegnerizzazione con una macchina virtuale; questo algoritmo è notevolmente modificato rispetto alla versione iniziale di giugno 2016.
- Questo infetta i dispositivi locali e si diffonde facilmente attraverso la rete per infettare altri computer e cartelle di rete;
- Osiris può essere distribuito anche tramite sistemi CRM/sistemi di assistenza ai clienti (anche basati sul cloud) attraverso i confini interaziendali. L’utente infetto di un’organizzazione può inviare un’e-mail all’indirizzo e-mail del sistema CRM; il suo decodificatore interno analizza l’e-mail in entrata e aggiunge un allegato maligno al ticket generato automaticamente. L’ingegnere dell’assistenza clienti apre i ticket, apre l’allegato Excel e infetta la rete.
- Come previsto da Acronis, i criminali del ransomware hanno iniziato ad attaccare le soluzioni di backup. Osiris attacca direttamente il Microsoft Volume Shadow Copy Service (VSS) disponibile in ogni copia di MS Windows e cancella le copie “ombra” già create;
- Osiris utilizza potenti algoritmi di criptazione, pertanto i dati infetti non possono essere decriptati da strumenti di terzi;
- colpisce Windows e anche i dispositivi Mac e Android;
Questa varietà di ransomware Osiris è considerata responsabile dell’infezione del Dipartimento di Polizia di Cockrell Hill in Texas, che ha causato la perdita di otto anni di dati di prove critici.
In una dichiarazione pubblica, il dipartimento di polizia ha affermato che il malware è arrivato “da un indirizzo e-mail clonato che imitava un indirizzo e-mail rilasciato dal dipartimento” e dopo aver messo le radici, ha richiesto 4 Bitcoin in riscatto, oggi equivalenti a circa 3.600 dollari, o “circa 4.000 dollari” come ha dichiarato il dipartimento, così riportava la rivista specializzata “The Register”. I dati andarono persi poiché il dipartimento non aveva procedure di backup adeguate.
Secondo altre notizie, i truffatori del ransomware hanno attaccato l’hotel Romantik Seehotel Jaegerwirt sul passo montano di Turracher Hoehe in Austria, violando il loro sistema di chiavi elettroniche e bloccando centinaia di ospiti all’interno o all’esterno delle rispettive stanze fino al pagamento del riscatto.
Potete permettervi di essere la prossima vittima di un ransomware?
Proteggete ora i vostri sistemi! Per scoprire come, scaricate Acronis Active Protection: Disponibilità costante dei dati nel mutevole panorama delle minacce.
Acronis Active Protection™, una combinazione di soluzioni di sicurezza e di backup integrate, è in grado di rilevare e ripristinare immediatamente i file attaccati da Osiris.
La “decriptazione” manuale dei file Osiris è difficile e possibile solo se gli utenti possiedono dei backup che non sono stati ancora criptati.
Acronis Active Protection™ è stato dichiarato in grado di proteggere efficacemente i sistemi di computer dal ransomware Osiris. Questa innovativa tecnologia in attesa di brevetto, introdotta in Acronis True Image 2017 New Generation, si basa sulle euristiche comportamentali e rileva e arresta facilmente l’attività malevola di Osiris. Inoltre consente all’utente di ripristinare immediatamente qualunque file infetto.