Complice la recente rivelazione di una nuova superficie d’attacco per i server microsoft exchange non aggiornati da maggio scorso la diffusione di nuovi ransomware non tende a diminuire assolutamente, attraverso le Attack-Chain di ProxyShell e PetitPotam, LockFile ha fatto la sua comparsa. A prima vista si tratta di un clone di Lockbit 2.0 dato che la sua hta (pagina di presentazione) è pressoché identica. Quello che distingue questo ransomware dagli altri è una curiosa tecnica di antivirus evasion.
Crittografia intermittente
Conti, Lockbit o altri malware della stessa famiglia, crittano i primi blocchi di un file impedendone così la lettura e velocizzando il completamento della fase di crittografica del malware. Lockfile invece critta i file a blocchi di 16 bytes in modo alternato, dato che il file può essere ancora parzialmente letto, vengono rese inutili le rilevazioni di compromissione crittografica basate su metodi statistici, poiché il file è sufficientemente simile all’originale da non generare allarmi. Una volta completata la fase di crittografia e generate le note di contatto il malware cancella sé stesso lasciando antivirus senza
La città di Peterborourgh nel New Hampshire ha dichiarato di aver perso $ 2,3 milioni dopo che i truffatori hanno ingannato i dipendenti della città facendoli inviare ingenti pagamenti ai conti sbagliati.
Le indagini hanno rivelato che i malfattori hanno utilizzato mail contraffate e documenti falsi per deviare i pagamenti a conti sotto il loro controllo.
Durante le indagini le autorità hanno scoperto che anche altri pagamenti sono stati intercettati, dovevano essere inviati a due appaltatori con il compito di costruire un ponte in città.
I servizi segreti americani, che sono stati contattati per indagare sull’incidente, hanno comunicato agli ufficiali di Peterborourgh che i fondi rubati sono stati lavati e convertiti in criptovaluta.
I dipendenti caduti vittima dell’inganno sono stati temporaneamente congedati, ma si dichiarano estranei ai fatti. I fondi persi probabilmente non verranno coperti dalle assicurazioni.
Quei 2,3 milioni ammontano a circa il 15% del budget annuale della piccola cittadina. Questo tipo di raggiro è chiamato truffa BEC e secondo l’FBI è costato alle aziende 1.8 miliardi nel 2020.
Truffa BEC
La Business mail Compromise (compromissione di mail aziendali) è un sofisticato tipo di truffa rivolta alle aziende che effettuano bonifici bancari e hanno fornitori all’estero. E-mail aziendali di dirigenti, o dipendenti in alto nella catena di comando, o che comunque svolgono attività finanziaria, come l’invio di bonifici, vengono impersonati o compromessi con keylogger o phishing per eseguire trasferimenti di