merry christmas

and Happy New Year

Mastodon

Il Centro Nazionale Svizzero della Cibersicurezza (NCSC) ha rilasciato oggi, 14 marzo, la notizia che negli ultimi giorni si sono intensificati in Svizzera gli attacchi ransomware alle aziende tramite il malware QakBot.

Il malware QakBot viene diffuso tramite email utilizzando una tecnica ormai nota; per creare credibilità gli attaccanti sfruttano email reali facenti parte di scambi con clienti o fornitori di cui sono venuti in possesso in occasione di compromissioni precedenti e inducono la vittima a cliccare su link presenti nell’email stessa. Il link riporta a sistemi di cloud conosciuti per cercare di eludere i blocchi dei sistemi e una volta cliccato presenta un file zip protetto da una password che è presente all’interno dell’email.

Decomprimendo il file zip si ottiene un file Excel contenente una macro che una volta attivata fa partire l’infezione del malware QakBot che porta in seguito alla compromissione della rete aziendale tramite un trojan di crittografia ovvero un ransomware. L’azienda vittima si ritrova quindi con tutti i dati e i sistemi criptati e con una richiesta di riscatto per poterli decriptare.

Il file di Excel si presenta con questo aspetto:

È quindi molto importante prestare sempre molta attenzione alle email che ci appaiono sospette, che invitano a cliccare su link o scaricare files, anche se provenienti da mittenti noti e attendibili; in caso di dubbi o incertezze il consiglio è di rivolgersi ai responsabili IT della propria azienda, o in caso di email private di contattare direttamente il mittente per verificare l’autenticità di quanto ricevuto.

Il Centro Nazionale Svizzero della Cibersicurezza mette anche a disposizione un servizio per segnalare email di Phishing o sospette, consultabile cliccando qui.

Configurazione Exchange ibrida: mailbox online non visibile on-premises
Supply chain attacks e cybersecurity nel 2022
Translate »