Il report sul crimeware di Kaspersky
Nell’ultimo report sul crimeware di Kaspersky sono state identificate e analizzate tre nuove minacce capaci di rubare dati e denaro. Lo stealer GoPIX che prende di mira i sistemi di pagamento PIX, lo stealer multifunzionale Lumar e il ransomware Rhysida. Dal momento che le minacce informatiche a carattere finanziario continuano ad aumentare, gli esperti invitano gli utenti a rimanere vigili.
GoPIX, campagna malevola attiva da dicembre 2022, si focalizza sul sistema di pagamento PIX, ampiamente utilizzato in Brasile. La campagna inizia quando gli utenti cercano “WhatsApp web” su internet e vengono reindirizzati attraverso annunci ingannevoli. Grazie al tool anti-frode IP Quality Score, che permette di distinguere gli utenti reali dai bot, GoPIX offre due opzioni di download a seconda dello standard della porta 27275, collegata al software Avast Safe Banking. Il malware, progettato per rubare e manipolare i dati delle transazioni, permette di eseguire diverse operazioni e di rispondere ai comandi di un server command-and-control (C2).
Lumar, un nuovo stealer multifunzione apparso a luglio 2023 grazie a un utente chiamato “Collector”, vanta funzionalità impressionanti, tra cui la cattura di sessioni di Telegram, la raccolta di password, cookie, dati di autofill, il recupero di file dal desktop degli utenti e l’estrazione di dati da vari portafogli criptati. Le dimensioni ridotte di Lumar, dovute alla codifica C, non ne compromettono la funzionalità. Una volta eseguito, Lumar raccoglie le informazioni di sistema e i dati dell’utente e li invia al C2. L’efficiente raccolta dei dati è facilitata dall’uso di tre fili separati. Il C2, gestito dall’autore del malware come Malware as a Service (MaaS), offre semplici funzionalità come statistiche e registri di dati. Gli utenti possono scaricare l’ultima versione di Lumar e ricevere notifiche su Telegram con i dati in arrivo.
Rhysida è il nuovo arrivato della scena ransomware. Rilevato a maggio attraverso la telemetria di Kaspersky, opera come Ransomware-as-a-Service (RaaS). Rhysida si contraddistingue per il suo esclusivo meccanismo di autocancellazione e per la compatibilità con le versioni precedenti a Windows 10 di Microsoft. Scritto in C++ e compilato con MinGW e librerie condivise, Rhysida mostra una progettazione sofisticata. Pur essendo relativamente nuovo, ha affrontato problemi iniziali di configurazione con il suo server onion, dimostrando un rapido adattamento e apprendimento del gruppo.
“Con l’aumento delle minacce informatiche di natura finanziaria, il nostro impegno per la protezione degli ecosistemi digitali rimane costante. Seguiamo da vicino l’evoluzione del panorama delle minacce, sviluppando soluzioni di sicurezza per contrastare proattivamente gli attacchi. Per garantire la sicurezza, consigliamo l’adozione di una robusta strategia di cybersecurity, che mitighi le minacce in modo efficace”, ha dichiarato Jornt van der Wiel, Senior Security Researcher del GReAT di Kaspersky.
Per prevenire le minacce finanziarie, Kaspersky consiglia di:
- Impostare backup offline dei propri dati in modo che non possano essere manomessi da intrusi e assicurarsi di potervi accedere rapidamente in caso di emergenza.
- Installare una protezione ransomware per tutti gli endpoint.
- Utilizzare una soluzione di protezione per gli endpoint e i server di posta elettronica con funzionalità anti-phishing così da ridurre le possibilità di infezione attraverso email di phishing.
- Eseguire audit di cybersecurity delle proprie reti e correggere eventuali punti deboli scoperti nel perimetro o all’interno della rete.
- Non pagare mai il riscatto richiesto da un ransomware, ma segnalarlo alle forze dell’ordine, dal momento che si tratta di un reato penale. In ogni caso, il pagamento non garantirà la restituzione dei dati, piuttosto incoraggerà i criminali a continuare la loro attività. Provare a scaricare un programma di decriptazione da internet, alcuni sono disponibili su NoMoreRansom.org