Torniamo ad occuparci nuovamente del mondo dei ransomware, questa volta per prendere nota di una minaccia – RAA – che pur essendo conosciuta alle aziende attive nell’ambito della sicurezza informatica dall’inizio dell’estate, continua a tenere banco in ragione dei suoi aggiornamenti e della sua maggior efficacia (e pericolosità ) nei confronti dell’utenza.
Ad aver individuato una nuova versione del ransomware sono stati gli esperti di Kaspersky Lab, i quali hanno sottolineato come questa minaccia sia pure in grado di installare – sui computer presi di mira – un trojan che si occupi di sottrarre dati di una certa rilevanza: oltre a cifrare i file, infatti, il ransomware sarebbe così in grado di impadronirsi delle password.
La nuova versione di RAA si diffonde attraverso e-mail, tuttavia, il codice malevolo è stato celato all’interno di un file zip con tanto di protezione password, un aspetto che complica l’individuazione della minaccia attraverso gli antivirus. I cyber criminali avrebbero ora anche deciso di focalizzare i loro attacchi maggiormente sulle aziende, per ottenere maggior introiti.
Per spingere gli utenti ad aprire l’e-mail, i mittenti indicano che in allegato – all’interno di uno zip protetto per motivi di sicurezza da una password – si trovano indicazioni relative ad un pagamento in ritardo effettuato da un proprio fornitore: la stessa password è indicata all’interno del testo della e-mail e, attraverso la digitazione della stessa, si avvia l’installazione del malware.
L’installazione avviene dal momento in cui si esegue il file javascript presente, mentre nello stesso tempo, a schermo compare un file con indicazioni generiche: in questo modo, l’utente è distratto il tempo utile per dare il via alla cifratura dei file su PC, al termine della quale compare la classica schermata con la richiesta di pagamento del riscatto per decriptare tutto.
RAA non necessita di un server C&C per funzionare, aspetto questo che rende vulnerabile anche device che fossero disconnessi da Internet e, grazie al trojan Pony, lo stesso è in grado di acquisire nome utente e password per il login.