Il ransomware PyLocky attacca le aziende in Italia, Francia e Corea del Sud

Pylocky Ransomware Cybercrime Malware Trendmicro Cybersecurity Malspam Italia Francia Coreadelsud Cybersecurity Aziende Fatture Ict

Le aziende in Italia, Francia e Corea del Sud sono sotto attacco del ransomware PyLocky. Trend Micro: Il malware viene diffuso con campagne malspam, legate a false fatture

Le aziende in Italia, Francia e Corea del Sud sono sotto attacco del ransomware PyLocky. Lo hanno scoperto i ricercatori di cyber security di Trend Micro, che hanno rilevato ondate di aggressioni tramite campagne di malspam. i cyber aggressori usano la social engineering per indurre le vittime a cliccare sui link malevoli all’interno delle mail. Questi reindirizzano l’utente a un collegamento internet da cui si scarica un file ZIP con il ransomware all’interno. Inoltre, a conferma che le campagne prendono di mira i 3 paesi, le note di riscatto sono scritte in inglese, francese, coreano e italiano. Trend Micro ha scoperto i primi di agosto una trasmissione di spam che distribuiva PyLocky alle aziende francesi e le ha allertate di conseguenza. L’esca, come altre volte in passato, sono presunte fatture che se aperte compromettono la cyber security del sistema crittografando una serie di files.

Gli esperti di cyber security: Il ransomware cerca di crittografare oltre 150 tipi di files e ha funzionalità anti-sandbox

PyLocky, una volta installato sul computer, tenta di crittografare file di immagini, video, documenti, suoni, programmi, giochi, database e archivi, tra gli altri. Complessivamente, secondo Trend Micro, mira a un elenco di oltre 150 tipi di file diversi. Le routine di crittografia del ransomware sono implementate utilizzando la libreria PyCrypto e sfruttano il codice 3DES (Triple DES). Il malware, infatti, esegue iterazioni su ciascuna unità logica, genera un elenco di file e quindi sovrascrive i file di destinazione con una versione cifrata. Completato il processo, presenta una richiesta di riscatto e stabilisce le comunicazioni con il suo server di comando e controllo (C2, C&C). Dispone anche di funzionalità anti-sandbox. Se il sistema-vittima ha una memoria inferiore di 4 GB, il malware rimane inattivo per 999.999 secondi (circa 11,5 giorni) prima di avviare la routine di crittografia. Questa, invece, viene eseguita subito se è maggiore o uguale a 4 Giga.

Il post di Trend Micro sulla nuova minaccia cibernetica

Photo Credits: Trend Micro