Trojan Rakhni: cifratura e ora anche mining

Business

Di recente abbiamo pubblicato un post in cui affermavamo che i miner stanno superando i ransomware nella classifica delle minacce online più diffuse. In linea con questa tendenza, il Trojan ransomware Rakhni, che stiamo monitorando dal 2013, ha aggiunto tra le sue armi il modulo di mining di criptomonete. La caratteristica interessante è che il loader del malware può decidere quale componente installare a seconda del dispositivo. I nostri ricercatori sono risaliti al suo funzionamento e ci spiegano quali sono i rischi.

I nostri prodotti hanno individuato il malware Rakhni in Russia, Kazakistan, Ucraina, Germania e India e si diffonde mediante e-mail di spam con allegati dannosi. Nel caso del campione analizzato dai nostri esperti, si trattava di un documento di argomento economico (il che suggerisce che i cybercriminali siano  interessati principalmente alle aziende).

L’allegato DOCX nell’e-mail di spam contiene un documento PDF. Se l’utente acconsente alla modifica del file e prova ad aprire il PDF, il sistema richiede l’autorizzazione ad avviare un file eseguibile proveniente da una fonte sconosciuta. Dopo aver ottenuto l’autorizzazione dell’utente, Rakhni entra in azione.

Come un ladro nella notte

All’inizio, il file PDF dannoso ha le sembianze di un lettore di documenti. Il malware mostra alla vittima un messaggio di errore dove spiega perché non è stato aperto alcun file; successivamente, disattiva Windows Defender e installa certificati digitali falsi. Solo quando le acque sono calme, il malware decide se cifrare i file presenti per chiedere un riscatto o installare un miner.

Infine, il programma dannoso prova a passare ad altri computer della rete locale. Se i dipendenti dell’azienda hanno condiviso l’accesso alla cartella Utenti sul proprio dispositivo, il malware si copia sugli altri dispositivi.

Mining o cifratura?

Il criterio di selezione è semplice: se il malware trova sul computer della vittima una cartella di servizio chiamata Bitcoin, entra in azione un ransomware che cifra i file (compresi documenti Office, PDF, immagini e backup) e che richiede il pagamento di un riscatto in tre giorni. I cybercriminali promettono di inviare via e-mail tutte le informazioni sul ricatto, tra cui la cifra richiesta.

Se sul dispositivo non ci sono cartelle relazionate ai Bitcoin e se il malware ritiene che il computer disponga di sufficiente potenza computazionale per il mining di criptomonete, viene scaricato un miner che genera silenziosamente in background criptovalute quali Monero, Monero Original o Dashcoin.

Cosa fare per non cadere nella trappola

Per evitare di essere infettati da Rakhni e di causare danni importanti alla vostra azienda, prestate molta attenzione ai messaggi in entrata, soprattutto a quelli provenienti da indirizzi e-mail non conosciuti. Se siete indecisi se aprire un allegato oppure no, meglio non aprirlo. Inoltre, prestate particolare attenzione agli avvertimenti del sistema operativo e non aprite applicazioni provenienti da fonti sconosciute, soprattutto se le app hanno nomi simili ad altri programmi molto diffusi.

Nella vostra lotta a miner e cryptor della rete aziendale, vi consigliamo di seguire queste dritte:

  • Organizzate formazioni periodiche rivolte al vostro staff che si occupa di sicurezza informatica in azienda e verificate le loro conoscenze. Se avete bisogno di aiuto, i nostri esperti possono consigliarvi;
  • Effettuate copie di backup di dati sensibili su un sistema di immagazzinamento separato dalla rete aziendale;
  • Avvaletevi di soluzioni di sicurezza affidabili con analisi comportamentale, come Kaspersky Endpoint Security for Business;
  • Analizzate regolarmente la vostra rete aziendale con lo scopo di individuare anomalie.

Anche se non utilizzate le soluzioni per aziende di Kaspersky Lab, non è detto che i vostri dati debbano essere alle mercé dei ransomware. Abbiamo a disposizione per voi una soluzione dedicata, che si chiama Kaspersky Anti-Ransomware Tool, in grado di incrementare il livello di protezione dei prodotti di sicurezza di terze parti: tale soluzione impiega le ultime tecnologie di identificazione dei comportamenti e i nostri meccanismi su cloud per individuare i ransomware che potrebbero insinuarsi nella vostra rete aziendale.