Gli analisti di malware di Avira ritengono che la botnet che distribuisce il ransomware Locky potrebbe concedersi una pausa pasquale e sospendere l’invio di email di phishing in Europa nella giornata festiva di lunedì 28 marzo.
Se questa previsione si verificherà, la misura del rallentamento dimostrerà la capacità dell’operatore di botnet di tarare la propria portata in base alle festività regionali. Il 28 marzo è una festività caratterizzata dalla chiusura della quasi totalità delle aziende e delle pubbliche amministrazioni nella maggior parte dei paesi europei. Ma non è un giorno festivo negli Stati Uniti.
La strategia operativa del ransomware Locky è quella di immettere sul mercato nuovi vettori di attacco e nuove varianti di payload, ossia di carica esplosiva, all’inizio della settimana. Questa strategia colpisce le aziende con email di phishing subito dopo il fine settimana, quando gli impiegati cercano di scorrere le email velocemente e prima che le informazioni relative a nuovi payload vengano diffuse dai media. L’immagine relativa ai tentativi di phishing intercettati nella settimana del 7 marzo mostra chiaramente come un’ondata di distribuzione di Locky sia iniziata proprio lunedì 7 marzo.
“Lunedì ci aspettiamo un livello di tentativi di phishing connessi a Locky molto basso, con un considerevole aumento il giorno successivo, ossia martedì 29 marzo. Maggiore sarà la differenza, più chiara sarà l’indicazione della capacità della botnet di personalizzare la strategia di consegna”, afferma Oscar Anduiza, analista di malware di Avira. “Tuttavia, sebbene le consegne possano subire un rallentamento, riteniamo che gli innovatori del malware non si prendano il fine settimana di vacanza, semplicemente vedremo i loro nuovi stratagemmi 24 ore più tardi, nella giornata di martedì. In ogni caso, noi di Avira non abbassiamo mai la guardia. E certamente gli utenti non dovrebbero cliccare su email insolite solo perché arrivano durante il fine settimana”.
Il ransomware Locky è comparso all’improvviso all’inizio di quest’anno. Finora il ransomware ha bersagliato aziende e organizzazioni con email progettate per apparire in tutto e per tutto fatture provenienti da aziende legittime, spesso contenenti dati molto precisi. Una volta aperte, i file personali sul computer dell’utente finale vengono crittografati e le estensioni dei file vengono modificate in “locky”. Il riscatto richiesto per decrittografare i file spazia da 0,5 Bitcoin (175 euro) fino ai 15.000 Euro domandati a un ospedale negli Stati Uniti.
Locky è distribuito dalla botnet Dridex. Sebbene in passato Dridex si sia dedicata alla distribuzione di trojan bancari, ora sembra aver rivolto la propria attenzione al settore, più redditizio, del ransomware.
