Medici e pazienti di tutto il mondo, attenzione: la famiglia dei cybercriminali cresce! Nonostante la sua giovane età, con un mese di vita un ransomware ha già criptato i file in due ospedali statunitensi e fruttato 17.000$ ai suoi creatori.
Il “bebè” è stato chiamato Locky e, appena nato, ha conquistato in breve tempo la notorietà globale. Il motivo? Ha infettato le cartelle cliniche dell’Hollywood Presbyterian Medical Center di Los Angeles. Ebbene sì, l’ospedale è stato bloccato e alla fine ha pagato 17.000$ per riavere le sue cartelle.
#Locky #Ransomware Borrows Tricks from Dridex via @threatpost https://t.co/4VRyAas6pY pic.twitter.com/JO43afN7hq
— Kaspersky (@kaspersky) February 18, 2016
La nuova vittima, il Methodist Hospital di Henderson, in Kentucky, è una struttura per la terapia intensiva da 217 posti letto. Per fermare l’infezione, l’ospedale ha dovuto spegnere tutti i PC della rete. L’amministrazione dell’ospedale collabora con l’FBI controllando a uno a uno tutti i dispositivi in cerca dell’infezione. È possibile che alcuni dati possano essere recuperati dai backup. A differenza del precedente attacco all’ospedale, il riscatto richiesto è stato di soli 1.600$. Tuttavia, i funzionari dell’ospedale affermano che il denaro verrà pagato solo come misura estrema.
https://twitter.com/JGavin14News/status/711956381637726209
Le avventure di Locky in Kentucky sono cominciate con una lettera, come avviene di solito. Lo scorso venerdì un impiegato dell’ospedale ha ricevuto spam e ha fatto partire l’allegato che, a sua volta, ha scaricato il ransomware dal server dei criminali, aprendo la rete a Locky. Il trojan ha copiato velocemente tutti i dati sul dispositivo, criptandoli e cancellando gli originali. Contemporaneamente, Locky ha cominciato il suo viaggio lungo la rete aziendale dell’ospedale, che poteva essere fermato solo spegnendo tutti i PC.
Prima Locky era stato recapitato con l’aiuto di file doc con script dannosi che hanno scaricato il trojan da server remoti. In seguito, i delinquenti hanno cambiato tattica e sono passati agli archivi zip con gli script Java, che allo stesso modo scaricavano il trojan da server criminali e lo lanciavano. La maggior parte delle lettere dannose era in inglese. Ma c’erano pure email scritte in due lingue allo stesso tempo.
#Hospitals are under attack… what's at risk? https://t.co/b1WYjQgpfY via @61ack1ynx #Infosec pic.twitter.com/euuJ8041U0
— Kaspersky (@kaspersky) March 24, 2016
Secondo Kaspersky Security Network, Locky attacca soprattutto gli utenti di Germania, Francia, Kuwait, India, Sudafrica, USA, Italia, Spagna e Messico. Per quel che ne sappiamo, al trojan non interessa la Russia e i paesi della Comunità di Stati Indipendenti.
Va notato che Locky è un trojan davero bizzarro: raccoglie statistiche dettagliate su ogni vittima, il che è piuttosto insolito per un ransomware. Questo zelo può essere spiegato dagli interessi pecuniari dei delinquenti: quest’attività li aiuta a determinare il valore dei file criptati al fine di stabilire un riscatto individuale e guadagnare un enorme profitto.
10 tips to protect your files from ransomware https://t.co/o0IpUU9CHb #iteducation pic.twitter.com/I47sPIiWFF
— Kaspersky (@kaspersky) November 30, 2015
È improbabile che Locky sia stato creato per colpire nello specifico strutture sanitarie. Gli esperti di sicurezza sono certi che i criminali andranno a caccia di qualsiasi utente che si affidi molto ai dati, come avvocati, personale medico, architetti e così via.
Per concludere, vorremmo dire che le soluzioni Kaspersky Lab proteggono gli utenti da Locky a vari livelli:
- Il modulo anti-spam rileva email dannose inviate dai cybercriminali.
- Le email e i file antivirus integrati individuano gli script in upload e mettono in guardia l’utente. Le nostre soluzioni rilevano questi script come Trojan-Downloader.MSWord.Agent, Trojan-Downloader.JS.Agent e HEUR:Trojan-Downloader.Script.Generic.
- Il file antivirus riconosce il file eseguibile e avverte l’utente che il Trojan-Ransom.Win32.Locky è stato rilevato.
- Il modulo System agent di Kaspersky Internet Security troverà anche campioni sconosciuti del ransomware Locky e notificherà all’utente il rilevamento del PDM:Trojan.Win32.Generic. Inoltre, non permetterà al trojan di criptare file sul vostro disco duro, quindi nessun tipo di ransomware sarà in grado di sottrarre e bloccare i vostri dati e chiedere denaro.