Nuova Campagna di Attacco Ransomware/Sodinokibi

Proto: N010619.

Con la presente Yoroi desidera informarLa relativamente al recente rilevamento di pericolose ondate di attacco ai danni di Utenti ed Organizzazioni italiane. I messaggi di posta fraudolenti tentano di simulare comunicazioni di carattere legale, relative ad invii di documenti e notifiche di comparizione. All’interno delle email sono presenti archivi compressi protetti da password contenenti pericolosi file in grado di mettere in esecuzione una nuova minaccia Ransomware denominata “Sodinokibi“, capace di rendere inutilizzabili i file contenuti nella macchina vittima e nelle cartelle di rete da essa raggiungibili.

Figura. Messaggio di riscatto Ransomware/Sodinokibi

Di seguito si riportano gli indicatori di compromissione legati alla campagna in oggetto:

  • Malspam:
    • Oggetto: “<CONTENUTO VARIABILE> Numero di prova”
    • FileName: I tuoi documenti del caso.doc
  • Estensione:
    • <NOME ORIGINALE>.<7-CARATTERI>
  • Payment:
    • hxxp:// decryptor[.top/
    • hxxp:// aplebzu47wgazapdqks6vrcv6zcnjppkbxbr6wketf56nf6aq2nmyoyd[.onion/
  • Readme:
    • <7-CARATTERI>-readme.txt
  • Hash:
    • e5d23a3bb61b99e227bb8cbfc0e7f1e40fea34aac4dcb80acc925cfd7e3d18ec exe

Yoroi consiglia infine di mantenere alto il livello di consapevolezza degli utenti, avvisandoli periodicamente delle minacce in corso e di utilizzare un team di esperti per salvaguardare la sicurezza del perimetro “cyber”. Per avere un indice di minaccia in tempo reale si consiglia di visitare il seguente link: Yoroi Cyber Security Index