Nuovo sistema di distribuzione Ransomware

 

Proto: N020516.

 

Con la presente Yoroi desidera comunicarLe che è stato identificato un nuovo sistema di diffusione per Ransomware.
Una recente variante di Locky è stata riconosciuta utilizzare l’invio di email contenenti allegati con estensioni .hta, noti come HTML Application, come metodo per la propria distribuzione. Una HTML Application è un programma per Microsoft Windows contenente codice HTML ed uno o più linguaggi di scripting supportati da Internet Explorer, quali VBScript o JScript. Questi linguaggi sono già stati utilizzati dai Ransomware nei dropper con estensione .js, attraverso il loro utilizzo è possibile istruire il sistema per effettuare il download e l’esecuzione di qualsiasi tipo di file malevolo.

Gran parte dei sistemi di rilevamento esistenti non sono ancora in grado di riconoscere questo tipo di minaccia, per questo motivo è importante intraprendere velocemente contromisure che permettano di prevenire infezioni perpetrate attraverso questa nuova metodologia.
La soluzione più semplice ed efficace consiste nel modificare il programma predefinito destinato alla gestione dei file con estensione .hta. Normalmente questi vengono aperti dal browser Internet Explorer, impostando come applicazione predefinita Blocco Note si evita l’interpretazione ed esecuzione del codice malevolo.

Yoroi consiglia pertanto di utilizzare la seguente procedura di mitigazione:
Procedura manuale per singola macchina:

  1. Cliccare sul pulsante Start
  2. Digitare “Programmi predefiniti”
  3. Cliccare sull’opzione “Programmi predefiniti”
  4. Cliccare sull’opzione “Associa un tipo di file o un protocollo a un programma”
  5. Ricercare e selezionare nella lista la riga dell’estensione “.hta”:
  6. Cliccare il pulsante “Cambia programma…”
  7. Selezionare “Blocco Note” dalla lista, se non è disponibile cliccare sul pulsante “Sfoglia…” e ricercare l’applicazione notepad nella cartella “C:Windows” come mostrato nell’immagine:
  8. Cliccare sul pulsante “Apri”
  9. Cliccare sul pulsante “Ok”

Procedura automatica attraverso Group Policy Object su Microsoft Windows Server:

  1. Aprire Console Gestione Criteri di gruppo. Fare clic con il pulsante destro del mouse sull’oggetto Criteri di gruppo in cui dovrebbe essere contenuto il nuovo elemento preferenza, quindi fare clic su Modifica.
  2. Nell’albero della console, in Configurazione utente espandere la cartella Preferenze, quindi la cartella Impostazioni del Pannello di controllo.
  3. Fare clic con il pulsante destro del mouse sul nodo Opzioni cartella, scegliere Nuovo e selezionare Apri con.
  4. Nella finestra di dialogo Proprietà nuovo elemento Apri con selezionare un’azione da eseguire per Criteri di gruppo in Azione.
  5. Immettere le seguenti impostazioni di Apri con:
    • Azione: Sostituisci
    • Estensione di file: hta
    • Programma associato: %windir%notepad.exe
    • Predefinita: abilitato

Yoroi suggerisce inoltre di mantenere alto il livello di guardia all’interno della vostra organizzazione, di dotare le vostre organizzazioni di strumenti di sicurezza perimetrali opportuni e moderni come Next Generation Firewall, Next Generation IPS e IDS, di monitorare attivamente lo stato di sicurezza degli asset aziendali attraverso servizi di monitoraggio come MAMP (Managed Advanced Malware Protection).



Per avere un indice di minaccia in tempo reale si consiglia di visitare il seguente link: Yoroi Cyber Security Index