Campagna Cryptowall via Google Drive

 

Proto: N020715. 

Con la presente Email Yoroi desidera informarLa di un nuova nuova campagna di attacco per la propagazione del Ransomware Cryptowall 3, minaccia in grado di rendere inaccessibili tutti i documenti ed i file sensibili raggiungibili dall’host vittima.

 

I rilevamenti a disposizione indicano che Cryptowall è in grado di installarsi sui pc degli utenti di rete con software non aggiornato grazie allo sfruttamento di vulnerabilità di browser e plugin come Applet Java, Adobe Reader e Flash Player. In questo periodo la minaccia si propaga utilizzando l’Exploit Kit denominato RIG, il quale viene utilizzato per infettare pc a seguito della navigazione in siti web compromessi o malevoli.

 

La particolarità di questa campagna di attacco è l’uso di account Google Drive malevoli come sorgente di distribuzione del Ransomware in seguito installato sugli host vittima. In tale maniera lo scaricamento della minaccia avviene da domini ad alta reputazione come:

 

  • https://drive.google. com/uc?export=download&   […]

 

L’utilizzo di questa strategia di attacco rende meno efficaci i sistemi di difesa perimetrali i quali possono non essere in grado di rilevare scaricamenti di pericolosi malware effettuati attraverso comunicazioni cifrate a portali ad alta reputazione, evadendo così una significativa parte dei sistemi di sicurezza in uso. 
Siccome la copertura delle soluzioni AntiVirus non risulta al momento ottimale per la campagna di attacco indicata, Yoroi suggerisce di aggiornare e mantenere aggiornati browser web e componenti aggiuntivi come Flash, Java o Silverlight al fine di minimizzare il rischio di infezione dei vostri client di rete.

Yoroi consiglia di mantenere alto il livello di guardia all’interno della vostra organizzazione, mantenere signature e sandbox aggiornate e verificare periodicamente la sicurezza degli apparati server. Yoroi consiglia di mantenere alto il livello di consapevolezza dei vostri utenti, avvisandoli periodicamente delle minacce in corso e di l’utilizzare di un team di esperti per salvaguardare la sicurezza del perimetro “cyber”.

Per avere un indice di minaccia in tempo reale si consiglia di visitare il seguente link: Yoroi Cyber Security Index