fbpx
SOS WP Logo

Assistenza WordPress
06 92 93 90 73

Questo nuovo ransomware sta seminando il panico: neanche gli antivirus sono in grado di rilevarlo

L'ultimo ransomware Cactus che sta eludendo anche gli antivirus
Tabella dei Contenuti

Attenzione ad un nuovo software con caratteristiche di ransomware che riesce ad eludere i sistemi di sicurezza: tutto ciò che c’è da sapere

Un nuovo ransomware appare sulla scena e desta attenzione, dal momento che ha la capacità di giungere sui pc delle vittime, eludendo il controllo dei sistemi di sicurezza. Cactus, questo il nome della famiglia di virus scovata dai ricercatori di Kroll.

L'ultimo ransomware Cactus che sta eludendo anche gli antivirus
Il ransomware Cactus fa davvero paura – SOS-WP.it

Stando all’indagine condotta, emerge che il software in questione, attualmente ancora dallo scarso utilizzo, impiega nuove tecniche mirate a ritardare quanto più possibile il rilevamento all’interno del dispositivo su cui è presente. Tra le usate, ad esempio, vi è la crittografia del proprio codice.

Il software di crittografia che usa necessita di una chiave anche per l’implementazione, e ciò è probabile che gli permetta di essere ‘invisibile‘ sino al momento in cui gli attori del rischio non implementino l’attacco ransomware.

Perché Cactus è così temibile

In merito alle tattiche impiegate dai malintenzionati alle spalle del software, vi è l’apertura di una backdoor che usa SSH quale protocollo per comunicare con il server C2 detenuto dai player della minaccia.

Quando all’interno del sistema ed ottenuto l’accesso, si ricorre a strumenti legittimi in grado di rendere più semplice i collegamenti da e verso il server C2. Tra questi, Spashtop, AnyDesk e SuperOps RMM.

Per il momento il ransomware in questione non è stato ancora impiegato a sufficienza da aver modo di raccogliere metriche inerenti prezzi del riscatto, così come rispetto ai rischi di un eventuale mancato pagamento.

Digitare al computer con rischio ransomware
Uomo che digita al computer esposto al rischio ransomware

Ad ogni modo, si legge su CyberSecurity360, il team di Kroll ha spiegato che al momento della scrittura del bollettino, non era stato ancora individuato un “sito di esposizione”, oppure un blog legato all’identificazione dei soggetti attaccati, creato da Catcus, per la condivisione dei dati delle vittime in caso di assenza del riscatto pagato.

In merito al malware, altro aspetto da sapere è che cambia continuamente l’estensione dei file messi nel mirino dal processo di crittografia. Cactus impiega svariate estensioni e il cambiamento non è casuale, ma avviene secondo lo stato del processo stesso.

Inizialmente dà ai file l’estensione “CTS0“, mentre una volta completata la crittografia, diviene “CTS1“. Ancora, con l’opzione attività di costante esecuzione del software malevolo, si prevedono 2 passaggi crittografici sul medesimo file. Tutte le volte sarà accordato un numero diverso all’estensione che già esiste. Ad esempio “CTS1.CTS3“.

Il team consiglia, per limitare il più possibile l’esposizione al rischio, anzitutto di fare l’aggiornamento di ogni servizio VPN, così come occuparsi dell’implementazione dei gestori password. Infine, di fare l’autenticazione a più fattori per ostacolare il movimento laterale all’interno delle reti infette.

Ti potrebbe interessare anche

Lascia un commento

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *

Ricevi un avviso se ci sono nuovi commenti. Oppure iscriviti senza commentare.

Impostazioni privacy