Nuova campagna ransomware Crypt0L0cker

 

Proto: N010317.

Con la presente Yoroi desidera informarLa che attraverso la nostra infrastruttura è stato possibile identificare una nuova campagna di attacco per la propagazione del Ransomware Crypt0L0cker, minaccia in grado di rendere inaccessibili tutti i documenti ed i file sensibili raggiungibili dall’host vittima.

I messaggi della campagna utilizzano tutte oggetto FATTURA seguita da un numero casuale. Il contenuto delle email è scritto in italiano corretto ed inviata all’apertura dell’allegato per la consultazione della fattura.
In allegato al messaggio è presente un singolo file Microsoft Excel avente come nome una o due cifre numeriche.
Ecco una immagine di esempio di un messaggio incriminato:

Il foglio excel contiene una macro malevola che scarica ed esegue l’ultima variante del noto ransomware Crypt0L0cker.
Di seguito il consueto messaggio di richiesta del riscatto:

Yoroi suggerisce di aggiornare le regole dei propri servizi anti-spam in modo da bloccare la diffusione di questo tipo di messaggi, inoltre si consiglia di inviare un messaggio di avvertimento ai propri utenti invitandoli ad ignorare e cestinare questa tipologia di messaggi.

Gli indicatori di compromissione noti fino a questo momento sono:
Dominio mittenti: @mail.ull.edu.es
Drop server: 5.44.45.16 
Server Command and Control: 62.76.177.5046.183.218.199208.83.223.34
Decrypt host: 89.223.26.214

Yoroi consiglia di mantenere alto il livello di guardia all’interno della vostra organizzazione, mantenere signature e sandbox aggiornate e verificare periodicamente la sicurezza degli apparati server. Yoroi consiglia di mantenere alto il livello di consapevolezza dei vostri utenti, avvisandoli periodicamente delle minacce in corso e di l’utilizzare di un team di esperti per salvaguardare la sicurezza del perimetro “cyber”.

Per avere un indice di minaccia in tempo reale si consiglia di visitare il seguente link: Yoroi Cyber Security Index