Il ransomware Sodinokibi, apparso in rete lo scorso aprile, ha preso di mira l’Italia e si sta diffondendo tramite campagne di malspam.
A dichiararlo sono gli esperti di sicurezza informatica di Yoroi – Cybaze che hanno messo in guardia da email di documenti e notifiche di comparizione contenenti un allegato, ovvero un archivio compresso, protetto da password, all’interno del quale c’è il nuovo ransomware Sodinokibi. Una volta lanciato, il malware cripta tutti i file e chiede un riscatto per il loro sblocco. Per pagare il denaro deve essere convertito in cripto-valuta e inviato ad uno specifico portafoglio. Il ransomware nei mesi scorsi aveva colpito soprattutto in Germania, ma ora i suoi diffusori hanno scelto di voltare l’attacco informatico contro l’Italia. In coincidenza con la fine della distribuzione di GandCrab è iniziata un’altra campagna malevole di ransomware.
Infatti una nuova campagna di spam è stata scoperta dai ricercatori di sicurezza TG Soft che finge di essere una mail di “Nuova prenotazione” su Booking.com.
In allegato a questa email è presente un documento Word dannoso con nomi come “Booking.com – 1571165841.doc” che chiede di “Abilitare il contenuto” per accedere alle informazioni sulla prenotazione.
Una volta abilitato il contenuto, però, le macro incorporate scaricheranno Sodinokibi da un sito remoto e lo eseguiranno.
Sempre secondo TG Soft, il distributore di WinRar in Italia è stato hackerato per distribuire l’installer ransomware.
È possibile vedere un grafico di processo sotto per una sessione Any.Run che mostra come il file winrar-x64-571it (1) .exe era in realtà un programma di installazione per il ransomware.