I ransomware circolano anche nelle macro dei documenti
Gli attacchi ransomware stanno crescendo esponenzialmente e si diversificano per essere sempre più irrilevabili dagli strumenti di difesa. Ne è un esempio Locky, generalmente residente nelle macro di documenti, ovvero in quei pezzi di codice solitamente scritti in Visual Basic.
Come avviene l’attacco: Locky viene spedito all’interno di un allegato di posta elettronica attraverso un messaggio ben costruito ed attinente le tematiche solitamente trattate dai destinatari. Senza che ci si accorga di nulla, basta aprire il documento per venire infettati e causare l’installazione di un malware come ad esempio HawkEye KeyLogger. Questo malware memorizza tutto quello che viene battuto a tastiera e lo spedisce all’attaccante.
Qualora l’apertura delle macro presenti all’interno di documenti non fosse abilitata, Locky chiede all’utente di attivarla. In questo caso è davvero pericoloso confermarne l’abilitazione perché scatenerebbe tutto quanto sopra esposto, anche se il proprio computer è aggiornato all’ultima release. I ransomware infatti non sono virus ma a tutti gli effetti programmi la cui esecuzione viene lanciata inconsapevolmente dall’utente stesso.
L’attuale tattica dei pirati informatici è quella di rimanere silenti e rubare poche informazioni per volta: mantenere un profilo basso consente una maggiore presenza nel tempo all’interno dei sistemi informativi.
Articolo: Naked Security Blog
Questa tipologia di attacchi funziona molto bene nelle PMI dove si trova spesso una minore consapevolezza di questo genere di rischi e dove vi è strutturalmente meno presidio e meno monitoraggio degli incidenti di sicurezza informatica.
