Dettaglio News Dettaglio News

Vulnerabilità EternalBlue sfruttata da UIWIX Ransomware
18/05/2017
È in corso una nuova campagna di diffusione ransomware che, sulla scia di WannaCry, sfrutta la vulnerabilità nota come EternalBlue. Tracce della presenza del malware sono reperibili in rete già a partire dalla giornata di ieri 17 maggio 2017.

La nuova minaccia, identificata come UIWIX, non è – come potrebbe sembrare – un’evoluzione di WannaCry ma appartiene ad una nuova famiglia. Infatti, sebbene si introducano nei sistemi facendo leva sulla stessa falla di SMB, le due minacce si differenziano sotto numerosi punti di vista.

  • Innanzitutto, UIWIX sembra essere una minaccia fileless, viene cioè eseguita direttamente in memoria, consentendo agli attaccanti di ridurre al minimo le tracce dell’infezione.
  • UIWIX è inoltre in grado di terminare se stesso in presenza di una macchina virtuale o di una sandbox.
  • Lo stesso accade quando il ransomware gira su un sistema localizzato in Russia, Kazakistan e Bielorussia.
  • Per ogni infezione, viene utilizzato un indirizzo Bitcoin differente dove la vittima dovrà pagare il riscatto che ammonta a 200 dollari USA.
Da notare infine che UIWIX è anche in grado di esfiltrare informazioni quali credenziali di login per mail e browser.

La scheda tecnica contenente i dettagli di una analisi di laboratorio interna del CERT-PA è disponibile nel bollettino CERT-PA-B011-170518 scaricabile (previa registrazione) dall'apposita sezione.