Locky e la sofisticata arte di fare nomi

Io sono appena stato parte integrante dell’ultima serie di email del ransomware Locky. A prescindere dalla scortesia generale del messaggio, Avira sta concentrando la propria strategia antimalware proprio sulle parole scelte e sulla tecnologia usata per comunicarle.

Capire l’antifona

La parole scortesi sono nascoste nelle email indesiderate che distribuiscono programmi per il download del ransomware Locky. In fondo al file JavaScript aggrovigliato e confuso che contiene il malware per scaricare da Internet i file dannosi di Locky, abbiamo scoperto commenti infantili sulla mia persona e un’altra azienda specializzata sulla sicurezza in Internet.

In questo caso l’aspetto fondamentale è il mezzo con il quale viene comunicato il messaggio. Locky, il giovane ransomware di maggiore successo sul mercato, viene diffuso in maniera indiretta.  Generalmente ciò avviene con email indesiderate che sfruttano l’ingegneria sociale, ingannando chi le apre. E per far ciò Locky abusa di tecnologie quali le macro di Microsoft Word e, più di recente, JavaScript.

L’ingegneria sociale non è tutto

Anche se Locky di norma viene attivato da un utente che cade nella trappola di una data ingegneria sociale, non è il caso di rimproverare gli utenti come se fossero loro la causa di ogni male. I pirati informatici che si nascondono dietro Locky sono professionisti e la loro abilità tecnica è importante quanto l’ingegneria sociale che utilizzano. Una volta raggiunto un PC, per adempiere correttamente al proprio compito l’infezione deve superare la barriera rappresentata dal prodotto per la sicurezza Internet. È importante che Locky venga considerato nel suo complesso, ossia come un enorme framework con un server di comando e controllo e un algoritmo di dominio casuale. Il tutto è progettato da esperti professionisti.

Analisi del cloud e forze nascoste a dovere

Avira sta lavorando per rilevare Locky (e ogni altro tipo di malware) molto prima che tu venga tentato direttamente con uno stratagemma di ingegneria sociale. Puntiamo a identificare le email sospette e i programmi di download di Locky non appena questi entrano nella tua casella di posta. E intendiamo riuscirci sia che si nascondano in JavaScript, in macro di Microsoft Word o in qualsiasi futura vulnerabilità al momento ancora sconosciuta. Per farlo usiamo una serie di tecniche.

La maggior parte dei nostri sistemi di rilevamento di Locky prende vita in Avira Protection Cloud (APC). I due enormi vantaggi di questa tecnologia sono che ci permette di proteggere i nostri rilevamenti dalla decompilazione da parte dei pirati informatici e di analizzare i loro file binari in tempo reale. Così facendo sappiamo con esattezza quali misurazioni e cambiamenti siano necessari per proteggere i nostri clienti.

travis_sucks_big

Il che mi riporta al messaggio inserito nel confuso testo di JavaScript.

  1. È un complimento. Sì, per me il fatto che i pirati informatici menzionino il mio nome nel loro ultimo pacchetto JavaScript con il programma per il download di Locky è un complimento. Non citerebbero Avira se non riuscissimo a farli arrabbiare. Sì, abbiamo capito l’antifona.
  2. Non è un’offesa personale. In realtà non è neppure rivolta a me. È un complimento magnifico (anche se indiretto) per i nostri analisti dell’Avira Virus Lab che lavorano ogni giorno per porre fine alle nuove truffe di Locky e gli altri.
  3. Ma non finisce qui. La lotta contro Locky e gli altri malware non si risolve con un’unica battaglia. È una guerra continua. E noi di Avira continuiamo a perfezionare la nostra analisi e a rafforzare il nostro rilevamento per tenere lontano queste minacce dai tuoi dispositivi.

Questo articolo è disponibile anche in: IngleseTedescoFrancese

Chief Executive Officer