Nuova campagna di Maze Ransomware

Il riscatto raddoppia se la vittima non paga entro una settimana

Nuova campagna di Maze Ransomware

Il riscatto raddoppia se la vittima non paga entro una settimana

Nei giorni scorsi, il team di ricerca sula cyber security conosciuto con il nickname Twitter “nao_sec”  ha rilevato una campagna predisposta per veicolare il ransomware Maze tramite l’ausilito dell’exploit SpelevoEK. L’exploit sfrutta una vulnerabilità, la CVE-2018-15982 presente nelle versioni di Flash Player 31.0.0.153 e 31.0.0.108. Se sfruttata con successo, l’exploit procede a scaricare e installare automaticamente il payload di Maze ransomware.

Quando il payload di Maze Ransomware viene installato ed eseguito, inizierà la ricerca di file interessanti (ad es. Documenti, foto, database e altro) per crittografarli utilizzando la crittografia RSA e il codice di flusso ChaCha20 e aggiungere diverse estensioni

Il ransomware creerà anche una nota di riscatto denominata DECRYPT-FILES.txt in ciascuna delle cartelle scansionate, indicando alle vittime di aprire un sito Web ospitato sulla rete TOR per le istruzioni di pagamento per acquistare una chiave privata per decrittografare i file.

Secondo il sito di supporto del ransomware, il valore del riscatto raddoppia automaticamente se la vittima non paga entro circa una settimana dal caricamento della nota di riscatto.

Per proteggersi da Maze Ransomware o da qualsiasi altra famiglia di ransomware, è importante utilizzare buone abitudini informatiche e software di sicurezza. La cosa più importante è, naturalmente, utilizzare un buon antivirus, ma non basta. Intanto, assicurarsi di avere sempre un backup dei dati affidabile e testato. E’ necessario, poi,  accertarsi che siano installati tutti gli ultimi aggiornamenti di sicurezza di Windows e che tutto il software sia aggiornato, proprio perché i programmi meno recenti contengono vulnerabilità di sicurezza che sono comunemente sfruttate dai distributori di malware.

Infine, se si utilizzano i Servizi Desktop remoto, non collegarlo direttamente a Internet. Renderlo,  invece, accessibile solo tramite una VPN.

In ogni caso, è importante seguire sempre la vecchia, buona abitudine di sicurezza online: non aprire mai gli allegati se non si conosce chi li ha inviati!

FONTE: CERT-PA https://www.cert-pa.it/notizie/ransomware-maze-veicolato-tramite-exploit-kit/