Campagna di Attacco Ransomware

Proto: N070319.

Con la presente Yoroi desidera informarLa relativamente ad una pericolosa campagna di attacco rivolta ad aziende italiane. Le email intercettate sono appositamente curate per ingannare i malcapitati destinatari simulando l’invio di candidature spontanee per posizioni vacanti. Il documento Office in allegato contiene però codice macro in grado di infettare la macchina bersaglio con varianti GandGrab, pericoloso Ransomware in grado di rendere inutilizzabili gran parte dei dati raggiungibili dall’host vittima.

Figura. Apertura del documento Malevolo

Di seguito si riportano gli indicatori di compromissione individuati durante le analisi condotte:

  • Malspam:
    • Oggetto: “Candidatura per il posto vacante – Fabiana Masiello”
    • Mittenti: “Fabiana Masiello”
    • Allegati: 142758347.jpg, Fabiana_Masiello.doc
  • Dropurl:
    • hxxp:// www.blogs.nwp2.xcut[.pl/wp//wp-content/themes/flatonpro/word.exe
    • hxxp:// www.oshorainternational.[com/wp-content/plugins/wp-db-ajax-made/word.exe
    • hxxp:// www.testzagroda.hekko24[.pl/word.exe
    • hxxp:// www.tehms[.com/otieusx/word.exe
    • hxxp:// www.mutualamcoop.com[.ar/components/word.exe
  • Payment:
    • hxxp:// gandcrabmfe6mnef[.onion/

Yoroi consiglia infine di mantenere alto il livello di consapevolezza degli utenti, avvisandoli periodicamente delle minacce in corso e di utilizzare un team di esperti per salvaguardare la sicurezza del perimetro “cyber”. Per avere un indice di minaccia in tempo reale si consiglia di visitare il seguente link: Yoroi Cyber Security Index