Il CertPa: Nuova campagna per diffondere GandCrab, anche in Italia. Il cybercrime prende di mira col ransomware soprattutto il settore High Tech. Questo verifica la presenza di antivirus e in caso negativo avvia l’iter di codifica dei file

Il cybercrime ha lanciato una nuova campagna per diffondere il GandCrab, che sta colpendo anche in Italia. Il ransomware (versione 5.2) prende di mira soprattutto il settore High Tech con una forte concentrazione in Europa. Gli esperti di cyber security del CERT-PA hanno scoperto che il malware viene veicolato via email, con attacchi cibernetici di tipo spear phishing, nel quale è allegato un file Word armato di macro malevola. Peraltro questo, una volta installato, verifica che sulla macchina della vittima non siano presenti una serie di antivirus (Kaspersky, ESET, AntiVir, Avast, Norton, McAfee, Panda, Sygate Firewall, Kerio Personal Firewall, Trendmicro, F-Secure, Comodo e Windows Defender). In caso positivo interrompe immediatamente le sue attività e si auto-cancella. Se è negativo, raccoglie informazioni sull’host compromesso e prosegue l’iter per criptare i dati, mostrando al bersaglio la lettera di riscatto.

Gli esperti di cyber security: il malware, attivo almeno dal 2018, è in costante evoluzione. Usa varie esche, mail di phishing e il javaScript per colpire i bersagli

Secondo la community di cyber security, il malware GanCrab è attivo almeno dal 2018 e in costante evoluzione. Dalla sua prima apparizione, il cybercrime ha lanciato diverse campagne per diffondere il ransomware. Anche in Italia. Una delle ultime è stato un tentativo di sextortion, mediante un link a un falso video compromettente, che in realtà (se ci si cliccava sopra) avviava la catena d’infezione. Inoltre, per diffondere il codice malevolo, c’è un uso sempre più massiccio del JavaScript. Segno che i criminali cibernetici non hanno nessuna intenzione di abbandonarlo per trovare nuovi malware. Il linguaggio, infatti, è sempre più usato per la programmazione dei siti Internet. Inoltre, favorisce gli aggressori grazie a due caratteristiche: una volta lanciato, non richiede più interazione. Inoltre, quando viene salvato sul disco rigido, Windows può eseguirlo di default, in base al codice a cui fa riferimento nelle librerie utilizzate dalle pagine abilitate.