Oggetto: Avviso di sicurezza – ROMBERTIK!
Come sempre le esigenze dei clienti sono al primo posto per il personale di WinDSL, a tal proposito abbiamo deciso di diffondere questo comunicato. Il nostro intento è esclusivamente quello di informare il pubblico di un potenziale pericolo per i dati aziendali e privati.
Di cosa si tratta
L'ultimo virus che minaccia la sicurezza dei nostri dati e del nostro computer si chiama Rombertik.
Si tratta di un virus progettato per rubare i dati sensibili (credenziali e password) immessi nei browser di navigazione ma, a differenza di altri malware analoghi, non si limita ad agire di nascosto. Nell’ipotesi, infatti, che un antivirus riesca ad individuarlo, scatta l'attacco di Rombertik: disco rigido e PC vengono immediatamente messi fuori uso.
Il virus ha anche un piano B
Il virus è così aggressivo che prevede anche un “piano B”: se non dovesse riuscire a portare a termine i suoi propositi, è disponibile un secondo meccanismo che renderebbe i file dell’utente illeggibili. Rombertik è un virus estremamente sofisticato che utilizza tecniche simili a quelle degli stessi antivirus per poter agire indisturbato.
Come si propaga
Si propaga attraverso allegati di mail di spam e phishing realizzati in modo da sembrare innocui. Una volta infettato il computer, Rombertik è in grado di spiare l’utente quando usa Explorer, Firefox o Chrome intercettando e ritrasmettendo tutte le password immesse ai creatori del virus.
Tende a camuffarsi in modo tale da rendersi di difficile analisi agli occhi dei ricercatori informatici. Il file, di dimensioni rilevanti (circa 1.2 MB), è composto dal 97% di codice inutile, messo lì solo per deviare l'attenzione di possibili malware researcher. Il flusso di codice del malware è scritto appositamente per rendere lenta e laboriosa l'estrazione del vero payload, le cui dimensioni sono in realtà molto più piccole - circa 30KB di codice eseguibile.
Come agisce
Il malware, una volta colpito il PC, attacca i browser principali - Internet Explorer, Chrome, Firefox - rubando informazioni, credenziali di accesso, dati personali dalle connessioni Internet, anche protette da SSL, e invia il tutto al server di controllo localizzato all'indirizzo web centozos.org.in. Tuttavia la parte più pericolosa di questo malware è la sua capacità di autodifesa.
Se Rombertik viene rilevato infatti, tenta in extremis di attaccarsi all’MBR (Master Boot Record) ovvero quella piccola parte dell’hard disk che contiene tutte le informazioni ed i comandi necessari per avviare il PC. Cancellato questo, il terminale è decisamente compromesso e bisogna lavorarci parecchio per “riportarlo in vita”.
Una nota curiosa messa in evidenza da chi ha analizzato il virus è la presenza all'interno del malware di stringhe che fanno riferimento ad una società di sicurezza italiana, la NoVirusThanks s.r.l. Gli autori del malware, hanno probabilmente inserito queste stringhe per depistare le analisi e rendere più veritiero il file principale dell'infezione.
Prevenzione
Gli esperti sono già al lavoro per trovare una soluzione a questo nuovo malware particolarmente ‘combattivo’.
- Consigliamo sempre di mantenere un comportamento prudente: verificare bene il mittente delle mail e non aprire allegati che arrivano da indirizzi non conosciuti, nemmeno se possono sembrare plausibili.
- Avere un software antivirus aggiornato e funzionante è molto importante, i sistemi di protezione moderni sono in grado di bloccare molte varianti di questi malware, è possibile tuttavia che una nuova variante, non ancora scoperta passi il controllo dell’antivirus.
- Nel caso in cui l’antivirus non rilevi la minaccia, solo la massima attenzione da parte dell’utente può prevenire l’infezione, come detto precedentemente occorre essere particolarmente accorti nell’aprire allegati di posta di cui non si è certi del contenuto.
- Inviare la mail ad un collega per chiedere aiuto non fa che aumentare il rischio di infezione.
- Verificare in modo puntuale e accurato la corretta esecuzione dei backup.
Conclusione
Alla luce di quanto esposto risulta evidente l’importanza dei backup, è quest’ultimo infatti l’unico sistema che dia una garanzia di recupero dei dati compromessi.
È altrettanto evidente quindi che la procedura di backup deve essere monitorata e sicura, e che il repository delle copie deve essere mantenuta in sicurezza e isolata da possibili attacchi del virus.
WinDSL, con la sua lunga esperienza nel campo, offre a tutti i suoi clienti una consulenza adeguata per scongiurare tali evenienze, e, nel caso di infezione, per il recupero delle attività aziendali nel minor tempo possibile.
L’amministratore
Gabriele Innocenti