IKARUSdilapidated, una probabile variante del più famoso ransomware Locky, ha iniziato una campagna mail pericolosa e difficile da contrastare.

All’inizio di agosto, per tre giorni, un nuovo ramsomware chiamato IKARUSdilapidated ha attaccato migliaia caselle di posta, con messaggi che contenevano poco contenuto e un allegato che si è rivelato essere molto pericoloso. 

Questo file ha un’estensione che può essere un .doc, un .vbs, un .tiff, o un file zippato, con un nome poco chiaro, che riporta una E seguita da una data e un numero a tre cifre tra parentesi.

In caso di apertura del documento, ci si troverà di fronte a un foglio di word, con stringhe di caratteri incomprensibili e un avviso che sprona l’utente ad attivarne la decodifica tramite macro. Questa è la tecnica ingegneristica utilizzata in determinati tipi di attacchi phishing. Non appena l’utente farà come indicato, le macro salveranno ed eseguiranno un file binario che scaricherà il vero trojan di crittografia.

Per gli utenti più esperti il trucco è quasi obsoleto ma per il fruitore medio la trappola è sicuramente ben congegnata. Avviando il file si permette a uno script di scaricare un vero e proprio ransomware, IKARUSdilapidated appunto, che pare essere in grado di evitare la protezione degli antivirus. Grazie a una sorta di collaborazione con gli autori di Dridex, il trojan in grado di sfuggire alle analisi di sandbox, IKARUSdilapidated riesce a rimanere, per ora, sconosciuto ai maggiori programmi di antivirus, agendo così indisturbato sulla macchina infetta. 

Post-infezione, viene visualizzato sul desktop della vittima un messaggio, che chiede di scaricare il browser Tor e visitare un sito di pagamento, in cui viene poi estorto un riscatto tra 0.5 e 1 bitcoin (da 600 a 1200 dollari) per i file da decrittografare.

L’analisi su un campione di 62.000 email collegate alla campagna IKARUSdilapidated di Comodo ha rivelato un sofisticato avversario che utilizza, grazie a una sofisticata botnet, 11.625 diversi indirizzi IP distribuiti in 133 paesi diversi, come il Vietnam, l’India, il Messico, la Turchia e l’Indonesia.

I ricercatori dicono che questo ransomware è una variante di Locky, il virus che negli scorsi due anni ha estorto più di 7,8 milioni di dollari alle vittime degli attacchi, poiché ne condivide molte caratteristiche, come i nomi di file crittografati convertiti in una combinazione unica di 16 lettere e numeri con l’estensione file .locky.

Come sempre quindi invitiamo gli utenti a tenere alto il livello di allerta e ad essere molto attenti sui file di dubbia provenienza, cercando di non aprire gli allegati con leggerezza e noncuranza.