fbpx

Questo nuovo ransomware sta seminando il panico: neanche gli antivirus sono in grado di rilevarlo

L'ultimo ransomware Cactus che sta eludendo anche gli antivirus
Tabella dei Contenuti

Attenzione ad un nuovo software con caratteristiche di ransomware che riesce ad eludere i sistemi di sicurezza: tutto ciò che c’è da sapere

Un nuovo ransomware appare sulla scena e desta attenzione, dal momento che ha la capacità di giungere sui pc delle vittime, eludendo il controllo dei sistemi di sicurezza. Cactus, questo il nome della famiglia di virus scovata dai ricercatori di Kroll.

L'ultimo ransomware Cactus che sta eludendo anche gli antivirus
Il ransomware Cactus fa davvero paura – SOS-WP.it

Stando all’indagine condotta, emerge che il software in questione, attualmente ancora dallo scarso utilizzo, impiega nuove tecniche mirate a ritardare quanto più possibile il rilevamento all’interno del dispositivo su cui è presente. Tra le usate, ad esempio, vi è la crittografia del proprio codice.

Il software di crittografia che usa necessita di una chiave anche per l’implementazione, e ciò è probabile che gli permetta di essere ‘invisibile‘ sino al momento in cui gli attori del rischio non implementino l’attacco ransomware.

Perché Cactus è così temibile

In merito alle tattiche impiegate dai malintenzionati alle spalle del software, vi è l’apertura di una backdoor che usa SSH quale protocollo per comunicare con il server C2 detenuto dai player della minaccia.

Quando all’interno del sistema ed ottenuto l’accesso, si ricorre a strumenti legittimi in grado di rendere più semplice i collegamenti da e verso il server C2. Tra questi, Spashtop, AnyDesk e SuperOps RMM.

Per il momento il ransomware in questione non è stato ancora impiegato a sufficienza da aver modo di raccogliere metriche inerenti prezzi del riscatto, così come rispetto ai rischi di un eventuale mancato pagamento.

Digitare al computer con rischio ransomware
Uomo che digita al computer esposto al rischio ransomware

Ad ogni modo, si legge su CyberSecurity360, il team di Kroll ha spiegato che al momento della scrittura del bollettino, non era stato ancora individuato un “sito di esposizione”, oppure un blog legato all’identificazione dei soggetti attaccati, creato da Catcus, per la condivisione dei dati delle vittime in caso di assenza del riscatto pagato.

In merito al malware, altro aspetto da sapere è che cambia continuamente l’estensione dei file messi nel mirino dal processo di crittografia. Cactus impiega svariate estensioni e il cambiamento non è casuale, ma avviene secondo lo stato del processo stesso.

Inizialmente dà ai file l’estensione “CTS0“, mentre una volta completata la crittografia, diviene “CTS1“. Ancora, con l’opzione attività di costante esecuzione del software malevolo, si prevedono 2 passaggi crittografici sul medesimo file. Tutte le volte sarà accordato un numero diverso all’estensione che già esiste. Ad esempio “CTS1.CTS3“.

Il team consiglia, per limitare il più possibile l’esposizione al rischio, anzitutto di fare l’aggiornamento di ogni servizio VPN, così come occuparsi dell’implementazione dei gestori password. Infine, di fare l’autenticazione a più fattori per ostacolare il movimento laterale all’interno delle reti infette.

Ti potrebbe interessare anche

Lascia un commento

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *

Cosa stai cercando?

Chiamaci ora!

Hai bisogno di una mano? Il nostro team è pronto ad ascoltarti e a trovare la soluzione su misura per te. Clicca qui sotto e chiamaci per un preventivo gratuito:

Richiedi SOS-CheckUp Base Gratis

Qual è lo stato di salute del tuo sito WordPress?

Anche se tutto sembra funzionare sul tuo sito WordPress, potrebbero esserci dei problemi nascosti da risolvere immediatamente

Richiedi subito un check-up gratuito per scoprire quali sono i pericoli invisibili

Gestione cookie