Il nuovo ransomware Osiris, mutazione del ben noto Locky, rappresenta la più recente minaccia malware ed è in grado di attaccare i backup senza essere rilevato. Il software malevolo aggiunge l’estensione “.osiris” alla fine dei file criptati e segue il modello standard delle infezioni ransomware: invadi, cripta, estorci. Sull’onda del successo di Locky, Osiris è una delle minacce alla sicurezza informatica più gravi che gli utenti di computer si trovano oggi ad affrontare. Locky è stato scoperto per la prima volta nel febbraio 2016 e da allora ha subito almeno sette mutazioni, nel tentativo di tener testa ai fornitori di prodotti di sicurezza in grado di rilevare e arrestare questo tipo di ransomware.
Per difendersi, Acronis ha sviluppato una tecnologia di nuova generazione che impedisce in modo proattivo le infezioni zero-day, consentendo agli utenti di prevenire attacchi ransomware e di recuperare i dati senza pagare alcun riscatto. Ieri abbiamo scoperto una nuova mutazione del ransomware Osiris, che ha eluso facilmente Windows Defender. Oggi non è stato altrettanto fortunato, ma esiste già una nuova versione che si è di nuovo presa gioco del software di sicurezza tradizionale.
Acronis Active Protectionè l’unica tecnologia in grado di bloccare tutte le versioni degli attacchi del ransomware Osiris. Non solo: è anche in grado di ripristinare immediatamente i dati criptati senza contattare i truffatori o pagare un riscatto. Questo è possibile grazie all’integrazione con Acronis Cloud. L’unica accortezza è che deve essere attivo sul proprio computer quando il ransomware colpisce.
Alcuni dettagli circa Osiris: – Osiris è la 7a generazione del ransomware / cripto-virus Locky, tradizionalmente diffuso attraverso campagne SPAM; – È difficile da rilevare in quanto utilizza componenti Windows standard per scaricare ed eseguire il payload (script e librerie); – Osiris ha il rilevamento della virtualizzazione integrato, il quale complica il lavoro di debugging e di retro-ingegnerizzazione con una macchina virtuale; questo algoritmo è notevolmente modificato rispetto alla versione iniziale di giugno 2016. – Questo infetta i dispositivi locali e si diffonde facilmente attraverso la rete per infettare altri computer e cartelle di rete; – Osiris può essere distribuito anche tramite sistemi CRM/sistemi di assistenza ai clienti (anche basati sul cloud) attraverso i confini interaziendali. L’utente infetto di un’organizzazione può inviare un’e-mail all’indirizzo e-mail del sistema CRM; il suo decodificatore interno analizza l’e-mail in entrata e aggiunge un allegato maligno al ticket generato automaticamente. L’ingegnere dell’assistenza clienti apre i ticket, apre l’allegato Excel e infetta la rete. – Come previsto da Acronis, i criminali del ransomware hanno iniziato ad attaccare le soluzioni di backup. Osiris attacca direttamente il Microsoft Volume Shadow Copy Service (VSS) disponibile in ogni copia di MS Windows e cancella le copie “ombra” già create; – Osiris utilizza potenti algoritmi di criptazione, pertanto i dati infetti non possono essere decriptati da strumenti di terzi; – Colpisce Windows e anche i dispositivi Mac e Android.
Questa varietà di ransomware Osiris è considerata responsabile dell’infezione del Dipartimento di Polizia di Cockrell Hill in Texas, che ha causato la perdita di otto anni di dati di prove critici. In una dichiarazione pubblica, il dipartimento di polizia ha affermato che il malware è arrivato “da un indirizzo e-mail clonato che imitava un indirizzo e-mail rilasciato dal dipartimento” e dopo aver messo le radici, ha richiesto 4 Bitcoin in riscatto, oggi equivalenti a circa 3.600 Dollari, o “circa 4.000 dollari” come ha dichiarato il dipartimento, così riportava la rivista specializzata “The Register”. I dati andarono persi poiché il dipartimento non aveva procedure di backup adeguate.
