Campagna Ransomware “Fattura TIM linea Fissa” 

 

Proto: N080517.

Con la presente Yoroi desidera informarLa riguardo al rilevamento di una pericolosa campagna di propagazione Ransomware basata su email di Phishing appositamente create per gli utenti di rete italiani. Le ondate email mirano ad ingannare le vittime al fine di scaricare ed eseguire allegati malevoli contenenti varianti della famiglia ransomware Cerber.

Le email fittizie risultano provenire da indirizzi email legati ad account compromessi e simulano comunicazioni relative a fatturazioni di compagnie telefoniche italiane. I messaggi di posta fraudolenti sono caratterizzati dalle seguenti peculiarità:

  • Oggetto: “Fattura TIM linea Fissa – Maggio 2017 – scadenza 18/05/2017
  • Allegato: Documento n.<10NUMERI>-<7NUMERI>.zip
  • Allegato: Documento n.<10NUMERI>-<7NUMERI>.exe

I file allegati alle mail sono in grado di infettare la macchina vittima e rendere inutilizzabile gran parte dei documenti in essa contenuti. Il malware in questione tenta di collegarsi verso numerose destinazioni dell’est europa utilizzando la porta di rete 6893. In dettaglio sono stati registrati collegamenti caratteristici verso le seguenti sottoreti pubbliche 94.21.172[.0/27, 94.22.172[.0/27, 94.23.172[.0/24, 94.23.173[.0/24, 94.23.174[.0/24 e 94.23.175[.0/24.



Pasted image at 2017_05_18 01_21 PM.png
Figura 1. Schermata di riscatto a seguito dell’esecuzione della minaccia

Di seguito ulteriori indicatori di compromissione relativi alla minaccia:

  • api.blockcypher[.com
  • btc.blockr[.io
  • p27dokhpz2n7nvgr[.1fu8p3.top

Yoroi consiglia di mantenere alto il livello di guardia all’interno della vostra organizzazione, monitorare potenziali rischi di sicurezza, mantenere signature e sandbox aggiornate e verificare periodicamente la sicurezza degli apparati di rete. Yoroi consiglia inoltre di mantenere alto il livello di consapevolezza dei vostri utenti, avvisandoli periodicamente delle minacce in corso e di l’utilizzare di un team di esperti per salvaguardare la sicurezza del perimetro “cyber”.
Per avere un indice di minaccia in tempo reale si consiglia di visitare il seguente link: Yoroi Cyber Security Index