E’ in corso da qualche giorno un nuovo e pesante attacco verso le utenze email italiane di una nuova variante del virus Cryptolocker. L’attacco sembra essere ben studiato, l’invio di queste email infette parte infatti da account SMTP, di utenti italiani, precedentemente compromessi (ovvero a cui è stata rubata nome utente e password), usa i loro stessi SMTP e quindi può trarre in inganno alcuni filtri antispam/antivirus in quanto arriva da IP la cui reputazione non è compromessa.
Dalle nostre rilevazioni l’attacco sembra partito nella giornata del 28/03/2016, momento in cui abbiamo visto alcune decine di account SMTP bloccati dall’antispam in uscita dei nostri SMTP in quanto stavano inviando email infette. Gli invii arrivavano in contemporanea da differenti indirizzi IP per cui la loro individuazione risultava immediata.
Da un punto di vista della ricezione queste email si presentano con un oggetto che varia fra alcuni di questi:
l’oggetto quindi cambia spesso, rimane invariato l’allegato che si presenta sempre come un file .zip di 160729 byte il cui nome è in genere “attura_commerciale2016_MARZO.zip“.
Altri tipi di attacco, del tutto diversi dal precedente nella forma ma non nella sostanza, presentano messaggi non in lingua italiana con oggetto:
ed un allegato .zip ma con il nome che camuffa una doppia estensione tipo DOC841.tiff.zip,doc 4077617.JPG.zip, DOC 7345928.DOCX.zip e così via.
Pensare di impostare dei blocchi statici, come alcuni suggeriscono, per bloccare questi messaggi infetti non è ne la soluzione ne una strategia, i messaggi arrivano continuamente da IP diversi, gli oggetti cambiano nel giro di poche ore e si rischia di impiegare più tempo a capire cosa gli accomuna di quello che impiegano questi criminali a far partire una nuova variante.
Le soluzioni a cryptolocker sono almeno 4:
Per i primi 3 punti non rimane che fare affidamento ai responsabili d’azienda ed ai loro tecnici che gli seguono per la parte di manutenzione dei PC.
Per il quarto punto Qboxmail garantisce ai propri utenti il massimo dell’attenzione rispetto alle problematiche della diffusione dei virus via email. Da un lato monitoriamo e blocchiamo costantemente possibili invio di messaggi infatti che dovessero partire direttamente dai nostri server SMTP (a seguito del furto delle credenziali di accesso alle caselle email ai danni degli utenti). Dall’altro lato, quello della scansione dei messaggi in ingresso, ci impegniamo costantemente a mantenerci aggiornati ai migliori standard disponibili (proprio in queste settimane abbiamo selezionato ed aggiunto un nuovo fornitore di firme al nostro Antivirus).
Nello specifico sui nostri server MX sono presenti due livelli di controllo, ed eventuale blocco, delle email infette da “ransomware”. Il primo è mediante una scansione Antivirus basata su apposite e multiple “firme” 0-day dedicate all’individuazione di questo tipo di messaggi (https://www.malwarepatrol.net/). Il secondo livello è eseguito dal sistema Antispam che oltre al puro contenuto del messaggio (come fa l’antivirus) analizza anche la sua provenienza e la reputazione del mittente (sempre con l’ausilio di software commerciali dedicati a questo scopo). Questo doppio controllo permette di riuscire ad intercettare il più velocemente possibile le nuove varianti di questi virus.
Resta inteso che la sicurezza assoluta non esiste, che la protezione è sempre necessario applicarla a più livelli e che spesso il fattore più debole di questa catena è quello “umano”.