I laboratori Trend Micro hanno intercettato un nuovo attacco del famigerato TorrentLocker, malware della pericolosa categoria crypto-ransomware. Il picco di questa nuova ondata si è verificato nella seconda metà di giugno, quando migliaia di email che riproducevano finte comunicazioni di provider di luce o gas come Enel, ma anche di servizi di spedizioni come SDA, hanno inondato diversi Paesi, tra i quali l’Italia.

Le comunicazioni via mail portavano a finti siti istituzionali ospitati su server russi, turchi e francesi, dove veniva chiesto all’utente di inserire un codice captcha che permetteva al malware di entrare nel sistema. L’utilizzo di un codice captcha è interessante, perché rappresenta un tentativo di evitare i test automatici di sandboxing.

La maggior parte delle aziende colpite da questa ondata crypto-ransomware appartiene al settore Sanità e l’Italia, con una percentuale vicina al 11%, risulta essere la quarta nazione per numero di comunicazioni ricevute che contenevano TorrentLocker dopo Gran Bretagna, Turchia e Stati Uniti.

1

Scendendo più nel dettaglio, si è scoperto che i file incriminati che hanno riguardato gli utenti italiani sono Bolletta_856912.zip (Enel), Pacchetto_741596.zip, Pacchetto_241879.zip, Pacchetto_857560.zip, Pacchetto_278560.zip (SDA) e carta_certificada_140712.zip, carta_certificada_127845.zip e carta_certificada_748215.zip (Correo).

I prodotti Trend Micro sono costantemente aggiornati per rilevare questo genere di minacce e le soluzioni di Custome Defense sono in grado di bloccare questa tipologia di attacchi identificando i comportamenti sospetti. In ogni caso gli esperti Trend Micro raccomandano alle aziende di avere sempre una strategia di backup e di aggiornamento e formazione nei confronti dei propri utenti per limitare al massimo i possibili danni causati da TorrentLocker e dagli altri malware della categoria crypto-ransomware.