Milano, 24 ottobre 2023 - Nell’ultimo report sul crimeware di Kaspersky sono state identificate e analizzate tre nuove minacce capaci di rubare dati e denaro. Lo stealer GoPIX che prende di mira i sistemi di pagamento PIX, lo stealer multifunzionale Lumar e il ransomware Rhysida. Dal momento che le minacce informatiche a carattere finanziario continuano ad aumentare, gli esperti invitano gli utenti a rimanere vigili.
GoPIX, campagna malevola attiva da dicembre 2022, si focalizza sul sistema di pagamento PIX, ampiamente utilizzato in Brasile. La campagna inizia quando gli utenti cercano "WhatsApp web" su internet e vengono reindirizzati attraverso annunci ingannevoli. Grazie al tool anti-frode IP Quality Score, che permette di distinguere gli utenti reali dai bot, GoPIX offre due opzioni di download a seconda dello standard della porta 27275, collegata al software Avast Safe Banking. Il malware, progettato per rubare e manipolare i dati delle transazioni, permette di eseguire diverse operazioni e di rispondere ai comandi di un server command-and-control (C2).
Lumar, un nuovo stealer multifunzione apparso a luglio 2023 grazie a un utente chiamato "Collector", vanta funzionalità impressionanti, tra cui la cattura di sessioni di Telegram, la raccolta di password, cookie, dati di autofill, il recupero di file dal desktop degli utenti e l'estrazione di dati da vari portafogli criptati. Le dimensioni ridotte di Lumar, dovute alla codifica C, non ne compromettono la funzionalità. Una volta eseguito, Lumar raccoglie le informazioni di sistema e i dati dell’utente e li invia al C2. L’efficiente raccolta dei dati è facilitata dall’uso di tre fili separati. Il C2, gestito dall'autore del malware come Malware as a Service (MaaS), offre semplici funzionalità come statistiche e registri di dati. Gli utenti possono scaricare l'ultima versione di Lumar e ricevere notifiche su Telegram con i dati in arrivo.
Rhysida è il nuovo arrivato della scena ransomware. Rilevato a maggio attraverso la telemetria di Kaspersky, opera come Ransomware-as-a-Service (RaaS). Rhysida si contraddistingue per il suo esclusivo meccanismo di autocancellazione e per la compatibilità con le versioni precedenti a Windows 10 di Microsoft. Scritto in C++ e compilato con MinGW e librerie condivise, Rhysida mostra una progettazione sofisticata. Pur essendo relativamente nuovo, ha affrontato problemi iniziali di configurazione con il suo server onion, dimostrando un rapido adattamento e apprendimento del gruppo.
“Con l'aumento delle minacce informatiche di natura finanziaria, il nostro impegno per la protezione degli ecosistemi digitali rimane costante. Seguiamo da vicino l'evoluzione del panorama delle minacce, sviluppando soluzioni di sicurezza per contrastare proattivamente gli attacchi. Per garantire la sicurezza, consigliamo l’adozione di una robusta strategia di cybersecurity, che mitighi le minacce in modo efficace”, ha dichiarato Jornt van der Wiel, Senior Security Researcher del GReAT di Kaspersky.
Il report completo è disponibile su Securelist.com.
Per prevenire le minacce finanziarie, Kaspersky consiglia di:
• Impostare backup offline dei propri dati in modo che non possano essere manomessi da intrusi e assicurarsi di potervi accedere rapidamente in caso di emergenza.
• Installare una protezione ransomware per tutti gli endpoint. Kaspersky Anti-Ransomware Tool for Business è disponibile gratuitamente per proteggere computer e server da ransomware e altri tipi di malware così come prevenire gli exploit, ed è compatibile con le soluzioni di sicurezza installate in precedenza.
• Utilizzare una soluzione di protezione per gli endpoint e i server di posta elettronica con funzionalità anti-phishing così da ridurre le possibilità di infezione attraverso email di phishing.
• Eseguire audit di cybersecurity delle proprie reti e correggere eventuali punti deboli scoperti nel perimetro o all'interno della rete.
• Non pagare mai il riscatto richiesto da un ransomware, ma segnalarlo alle forze dell’ordine, dal momento che si tratta di un reato penale. In ogni caso, il pagamento non garantirà la restituzione dei dati, piuttosto incoraggerà i criminali a continuare la loro attività. Provare a scaricare un programma di decriptazione da internet, alcuni sono disponibili su NoMoreRansom.org
Kaspersky è un’azienda globale di sicurezza informatica e digital privacy fondata nel 1997. Le profonde competenze in materia di Threat Intelligence e sicurezza si trasformano costantemente in soluzioni e servizi innovativi per proteggere aziende, infrastrutture critiche, governi e utenti in tutto il mondo. Il portfolio completo di sicurezza dell’azienda comprende una protezione leader degli endpoint e diverse soluzioni e servizi di sicurezza specializzati e soluzioni Cyber Immune, per combattere le sofisticate minacce digitali in continua evoluzione. Oltre 400 milioni di utenti sono protetti dalle tecnologie Kaspersky e aiutiamo 220.000 aziende a tenere al sicuro ciò che più conta per loro. Per ulteriori informazioni è possibile consultare https://www.kaspersky.it/
Seguici su:
https://twitter.com/KasperskyLabIT
http://www.facebook.com/kasperskylabitalia
https://www.linkedin.com/company/kaspersky-lab-italia
https://www.instagram.com/kasperskylabitalia/
Head of Corporate Communications & Public Affairs Italy