Ransomware Osiris progettato per attaccare i backup

Il ransomware Locky ha subito un ennesimo “lifting”: i criminali informatici sviluppano aggiornamenti per una delle più comuni e dannose famiglie di malware crittatori di file. Il nuovo ransomware si chiama Osiris, dal dio egizio dell’oltretomba, e presenta caratteristiche migliorate, progettate per attaccare i backup senza essere rilevati. Questo aggiunge l’estensione .orisis alla fine dei file criptati e segue il modello standard delle infezioni ransomware: invadi, cripta, estorci. Sull’onda del successo di Locky, Osiris è una delle minacce alla sicurezza informatica più gravi che gli utenti di computer si trovano oggi ad affrontare.

Locky è stato scoperto per la prima volta nel febbraio 2016 e da allora ha subito almeno sette mutazioni, nel tentativo di tener testa ai fornitori di prodotti di sicurezza in grado di rilevare e arrestare questo tipo di ransomware.

.locky — Febbraio 2016
.zepto — Giugno 2016. Un mese dopo, Locky ha iniziato a supportare la criptazione offline con chiavi RSA implementate, in caso non fosse in grado di raggiungere i suoi server C&C.
.odin — Settembre 2016
.shit, .thor — Ottobre 2016
.aesir — Novembre 2016
.zzzzz, .osiris — Dicembre 2016

Alcuni ricercatori hanno inoltre rilevato che Osiris colpisce anche i dispositivi Apple Mac e Android.

Come difendersi

Acronis ha sviluppato una tecnologia di nuova generazione che impedisce in modo proattivo le infezioni zero-day, consentendo agli utenti di prevenire attacchi ransomware e di recuperare i dati senza pagare alcun riscatto.

Acronis Active Protection™ è l’unica tecnologia in grado di bloccare tutte le versioni degli attacchi del ransomware Osiris. Non solo: è anche in grado di ripristinare immediatamente i dati criptati senza contattare i truffatori o pagare un riscatto. Questo è possibile grazie all’integrazione con Acronis Cloud. L’unica accortezza è che deve essere attivo sul proprio computer quando il ransomware colpisce.

Ecco alcuni dettagli del nuovo ransomware Osiris.

Osiris è la 7ª generazione del ransomware / cripto-virus Locky, tradizionalmente diffuso attraverso campagne SPAM;
È difficile da rilevare in quanto utilizza componenti Windows standard per scaricare ed eseguire il payload (script e librerie);
Osiris ha il rilevamento della virtualizzazione integrato, il quale complica il lavoro di debugging e di retro-ingegnerizzazione con una macchina virtuale; questo algoritmo è notevolmente modificato rispetto alla versione iniziale di giugno 2016.
Questo infetta i dispositivi locali e si diffonde facilmente attraverso la rete per infettare altri computer e cartelle di rete;
Osiris può essere distribuito anche tramite sistemi CRM/sistemi di assistenza ai clienti (anche basati sul cloud) attraverso i confini interaziendali. L’utente infetto di un’organizzazione può inviare un’e-mail all’indirizzo e-mail del sistema CRM; il suo decodificatore interno analizza l’e-mail in entrata e aggiunge un allegato maligno al ticket generato automaticamente. L’ingegnere dell’assistenza clienti apre i ticket, apre l’allegato Excel e infetta la rete.
Come previsto da Acronis, i criminali del ransomware hanno iniziato ad attaccare le soluzioni di backup. Osiris attacca direttamente il Microsoft Volume Shadow Copy Service (VSS) disponibile in ogni copia di MS Windows e cancella le copie “ombra” già create;
Osiris utilizza potenti algoritmi di criptazione, pertanto i dati infetti non possono essere decriptati da strumenti di terzi;
colpisce Windows e anche i dispositivi Mac e Android;

Acronis Active Protection™, una combinazione di soluzioni di sicurezza e di backup integrate, è in grado di rilevare e ripristinare immediatamente i file attaccati da Osiris.

La “decriptazione” manuale dei file Osiris è difficile e possibile solo se gli utenti possiedono dei backup che non sono stati ancora criptati.

Acronis Active Protection™ è stato dichiarato in grado di proteggere efficacemente i sistemi di computer dal ransomware Osiris. Questa innovativa tecnologia in attesa di brevetto, introdotta in Acronis True Image 2017 New Generation, si basa sulle euristiche comportamentali e rileva e arresta facilmente l’attività malevola di Osiris. Inoltre consente all’utente di ripristinare immediatamente qualunque file infetto.