Questo sito web utilizza cookie tecnici e, previo Suo consenso, cookie di profilazione, nostri e di terze parti. Chiudendo questo banner, scorrendo questa pagina o cliccando qualunque suo elemento acconsente all'uso dei cookie. Leggi la nostra Cookie Policy per esteso.OK

L'ANALISI TECNICA

Maze, il ransomware nascosto dietro finte comunicazioni dell’Agenzia delle Entrate: come difendersi

Il ransomware Maze sta colpendo in queste ore le aziende e le pubbliche amministrazioni italiane spacciandosi per finte comunicazioni dell’Agenzia delle Entrate. Ecco i dettagli per riconoscere il malware e i consigli per prevenire un possibile attacco

29 Ott 2019

È stato rilevato un nuovo picco di diffusione del ransomware Maze che in queste ore, mediante una massiccia campagna di malspam, sta colpendo aziende e pubbliche amministrazioni in Italia nascondendosi dietro finte comunicazioni dell’Agenzia delle Entrate.

Come già successo con il banking trojan Emotet, anche Maze sfrutta il logo istituzionale e i riferimenti ufficiali dell’Agenzia delle Entrate per rendere più credibile la trappola e trarre in inganno le potenziali vittime.

Le e-mail malevoli, scritte in un italiano abbastanza corretto, hanno in allegato un file Word “VERDI.doc” armato di macro malevola il cui codice, se eseguito, avvia il download e la successiva attivazione del ransomware Maze.

Uno dei campioni di e-mail infetta isolata dagli analisti del CERT-PA.

I dettagli tecnici del ransomware Maze

Il malware era già stato rilevato dagli analisti del CERT-PA lo scorso 25 ottobre : in questa nuova campagna di diffusione del codice malevolo, i criminal hacker stanno sfruttando due nuovi domini registrati ad hoc:

  • agenziaentrateinformazioni.icu
  • agenziaentrate.icu

Anche questa nuova variante del ransomware Maze viene veicolata tramite l’ausilio dell’exploit SpelevoEK che, come scoperto dal ricercatore di sicurezza nao_sec, sfrutta la vulnerabilità CVE-2018-15982 presente nelle versioni di Flash Player 31.0.0.153 e 31.0.0.108.

Se sfruttato con successo, l’exploit procede a scaricare e installare automaticamente il payload di Maze. Terminata l’installazione del payload, Maze provvede subito a modificare l’estensione dei file presenti sul sistema cifrandoli mediante l’algoritmo RSA-2048.

Tra i file cifrati, sarà presente un file denominato DECRYPT-FILES.txt contenente la nota di riscatto con le istruzioni su come aprire un sito web ospitato sulla rete TOR e procedere con il pagamento richiesto per l’acquisto della chiave privata necessaria per decriptare i file.

Ecco come appaiono i nostri file dopo essere stati criptati dal ransomware Maze e la relativa nota di riscatto.

Il ransomware Maze, inoltre, fornisce alle vittime un’interfaccia di decrittografia online che permette loro di decriptare tre dei loro file bloccati come prova che la procedura di sblocco è effettivamente possibile e funzionante.

In particolare, mediante questa interfaccia le vittime saranno invitate a caricare la nota di riscatto per ottenere ulteriori istruzioni su come recuperare i loro dati. Una volta che il parser degli aggressori riconosce la nota di riscatto, le vittime saranno reindirizzate a una pagina Web dove potranno testare lo strumento di sblocco dei file (sono supportati solo file immagine in formato BMP, JPG, GIF e PNG) e ottenere ulteriori informazioni su come acquistare Bitcoin per pagare il riscatto. Il cui valore raddoppia automaticamente se le vittime non pagano entro una settimana circa dal caricamento della nota di riscatto.

Sul sito di “supporto” del ransomware Maze, inoltre, è presente anche una chat di supporto per chiedere informazioni direttamente ai criminal hacker.

Le istruzioni per difendersi dagli attacchi ransomware

Al momento non è stato ancora rilasciato un tool per riuscire a decifrare i file bloccati senza pagare il riscatto. L’unico strumento di difesa, dunque, rimane la prevenzione.

Il primo passo da fare è dunque quello di aggiornare sia l’antivirus sia il sistema operativo, oltre ovviamente alla versione di Flash Player installata sul computer.

È di fondamentale importanza, poi, eseguire periodicamente un backup dei dati, cioè una copia dei propri file da ripristinare in caso di attacco. Chiaramente, tale backup deve essere archiviato su una macchina differente e non collegata alla stessa LAN.

Se si viene attaccati, invece, le buone pratiche di sicurezza informatica dicono che non bisogna mai pagare il riscatto, ma rivolgersi a un’azienda che si occupa di sicurezza informatica.

Infine, è utile applicare alcune semplici regole pratiche che ci possono aiutare a non cadere nella trappola dei ransomware:

  • non aprire mai gli allegati di e-mail di dubbia provenienza. Nel dubbio è consigliabile chiedere al mittente se quella e-mail è autentica;
  • fare attenzione alle e-mail provenienti anche da indirizzi noti (potrebbero essere stati hackerati secondo una modalità di falsificazione nota come quella dello spoofing);
  • abilitare l’opzione Mostra estensioni nomi file nelle impostazioni di Windows: i file più pericolosi hanno l’estensione EXE, ZIP, JS, JAR, SCR ecc: se questa opzione è disabilitata non riusciremo a vedere la reale estensione del file;
  • disabilitare la riproduzione automatica (“autorun”) di chiavette USB, CD/DVD e altri supporti esterni e, più in generale, evitare di inserire questi oggetti nel nostro computer se non siamo certi della provenienza;
  • disabilitare l’esecuzione di macro da parte di componenti Office (Word, Excel, PowerPoint). Una macro malevola potrebbe essere contenuta in un allegato in formato Office e attivarsi automaticamente a seguito di un nostro clic;
  • utilizzare – quando possibile – account senza diritti da amministratore: se viene violato un account con privilegi ed accessi di amministratore, l’attaccante potrà utilizzare gli stessi privilegi per compiere più azioni e fare maggiori danni.

@RIPRODUZIONE RISERVATA

Articolo 1 di 5