ID: CERT-PA-B Data: 29/07/2016

Dimensione: px

Iniziare la visualizzazioe della pagina:

Download "ID: CERT-PA-B Data: 29/07/2016"

Fortunato Ricci
5 anni fa
Visualizzazioni

1 Bollettino: Nuovi IoC Ransomware Locky ID: CERT-PA-B Data: 29/07/2016 AVVERTENZE Il documento ha lo scopo di fornire alle Amministrazioni accreditate il quadro di riferimento degli scenari di minaccia rilevati dal CERT-PA, al fine di consentire loro di avviare tempestivamente valutazioni di impatto sui propri sistemi informativi e implementare le misure di contrasto/contenimento dei rischi correlati. Il CERT-PA, nell erogare al meglio questo servizio, si avvale di propri fornitori e di fonti pubbliche disponibili in Rete, individuati e selezionati tra i più autorevoli organismi di sicurezza, aziende specializzate e fornitori di tecnologie, al fine di garantire alla comunità di riferimento con la massima accuratezza, affidabilità e tempestività possibile le informazioni utili per la prevenzione e la gestione degli incidenti di sicurezza informatica. Non è consentito far uso di queste informazioni per finalità differenti da quelle sopra indicate. La presenza di rinvii operati mediante tecniche di ipertesto (link) non costituisce una raccomandazione del CERT-PA verso il soggetto richiamato, ma unicamente uno strumento per facilitare il rapido recupero di informazioni utili.

2 Indice Sommario Indicatori di compromissione Ransomware Locky... 2 Meccanismo di infezione... 2 Indicatori di Compromissione... 2 Allegati... 4 CERT-PA-B

3 Sommario Questa sezione contiene l elenco delle minacce oggetto del bollettino. Dalle segnalazioni e dal monitoraggio delle fonti, CERT-PA ha evidenziato la seguente minaccia: 1. Indicatori di compromissione Ransomware Locky Dall analisi delle fonti pubbliche il CERT-PA ha rilevato dalla data del 21 Luglio 2016 una nuova campagna massiva di diffusione del noto ransomware Locky. Si riportano nel presente bollettino le evidenze collezionate dal 27 al 29 Luglio Il presente bollettino è da considerarsi un aggiornamento dei bollettini CERT-PA-B Meccanismo di infezione I metodi utilizzati dai malviventi per la distribuzione del malware si concretizzano in di phishing, fintamente inviate da fornitori di servizi (poste e telecomunicazioni, corrieri di spedizione, etc ) con allegato malevolo, spesso contenuto in un file compresso.zip, il quale incorpora un file.js che si occuperà di scaricare ed avviare il processo malevolo. Indicatori di Compromissione Di seguito si riportano gli indicatori di compromissione rilevati nel periodo compreso fra il 27 ed il 29 Luglio URL(s) hxxp://01ad681.netsolhost.com/7j0jlq3 hxxp:// /~h_fujii/95hdienf hxxp:// /~typecent/xvsb58 hxxp:// /q11ci7g hxxp://adsnight.com/t660p hxxp://arabian-horse-highlights.homepage.t-online.de/kzm2n hxxp://baer-afc2.homepage.t-online.de/80gb9 hxxp://bajasae.grupos.usb.ve/4y13jg1 hxxp://baldwinhistory.portalstream.net/rqbljjx hxxp://beauty-jasmine.ru/6dc2y hxxp://billy-hanjo.homepage.t-online.de/2r713u hxxp://blanquerna.eresmas.net/tt2e8s4 hxxp://bolloevcenter.ru/tfltg hxxp://btgnj.com/m40jy hxxp://btkdevelopment.ru/x2cgny hxxp://btkdev.lgg.ru/ynsr7at hxxp://campustouren.de/k6tkk hxxp://dataprim.fr/73ru9l hxxp://dev12.gammat.net/oxg2m3 MD5 f09b778d863ca69486ad08faaba4ac7c 0079c7d4e035d6cf1121d19a64f5f0b0 819ee4d98582f10702c5aef53dfe62b9 361c4e190a67608e27be106dd0747d63 9f59f88ee9c30ef9d338a88b6475ed3c 60262ffb22b94c89c95ab0e6324ad f02c53061d59bedbb56fbfd91cd1 5b6d62a5ab1d529e7b3e12603aa c33a f b6be 54975ea0e264b88ccaa9cf cea3781b84bef3274fe60da b1f9c1d88c799822edd1e92349dea05d 93effa7dad6031f0eb81cd60696aaaf1 d8b95a26ccc1539bb2fb4101a5764a61 423e2a190f656bd92f4c283b6d9d5dbb b2ea5c6c20f32a394d99f973ff f06c111114c56df16085d20b8b96436d eb71d5c05beff61ffb4db8f5182fb912 bef1ef5a9143ebe2c51d8140ded61a4f CERT-PA-B

4 CERT-PA-B hxxp://dub3tv.com/x9lh2 3f0670f98be217b e hxxp://enlas.50webs.com/cn56bv d26bbe30f8735a203da1cdacde hxxp://erkenne-mich-selbst.de/352oxk 515bb5e6ecc7f b hxxp://exclusive-closet.com/fld2h8 d4b d307d4cfce2041e7298cec hxxp://familieewald.de/jt73zb0z 35af713466c7b903c2d2ed53b822712d hxxp://fitnesclub.ru/sh54g8z 1fcbe31f8afcfe39496e2873caf4b30d hxxp://fremdesland.x.fc2.com/iya9qt 23b29d076a15fd5e48cadcb43bd3c326 hxxp://gkxxx.x.fc2.com/dxfom 60581f7f82a11143a56602eabe23ea34 hxxp://hdajaeger.homepage.t-online.de/8z961e 21718c184d75cb1a959f42f88c1ed59a hxxp://hdjung.homepage.t-online.de/0ipttu8w efbc498ca a3c42c87b8430f hxxp://hotstreams.ru/sam9xqp0 00b71a19e66ed9227bb40242fe694c58 hxxp://idd00dnu.eresmas.net/wdmlqe acfc63721df805a1bdf6f9091cf55238 hxxp://it4cio.servicos.ws/u8c3x 096a3dc97d0dd9dac835fe07eae869d0 hxxp://jozefow.cba.pl/ouini c43ab64c039d00cced97ceaf hxxp://jupp4u.de/~transfer/dd5y4g 0f04d611ccf4bd1d32ac3d1015fc448c hxxp://karinschacht.addr.com/d5utl f0ff73e b538c18b2d328a0f9 hxxp://karumaengeki.web.fc2.com/f3ry4 6d7d70de762926d925f7c9ed0cd3b7ba hxxp://kbridge.web.fc2.com/hj1fr cf0ae2f7c17a0fa561d8041f a hxxp://lacrima.ru/hvn1c a ea hxxp://leska-test.angelfire.com/7zw6yo4z 7979c3ef42f996ea171aef83f8488a86 hxxp://luzdevelas.es/9belfi 8ba4213f65b86b2b82cbee936d72203e hxxp://m1ikumoumist.web.fc2.com/avou9c2 709d9e84aa5aae3666b156a6a7797cce hxxp://marmorkontor.de/j hxxp:// hxxp:// hxxp://mt2black.hi2.ro/j hxxp:// hxxp://skulpturen-hoffelder.de/j d9943e bf9991a61bd6f24566 hxxp://mbctrans.3x.ro/ghlx5k 0a359d43e7d8fae8fbf6cb f79 hxxp://mbiurorachunkowe.republika.pl/6t6sz 8b102d71ab88f fb0caad996e6 hxxp://motorkote.org/0gq654 e37b84e9b12b3cd39d57ca473c583c6c hxxp://oavb.com/ojjtbz2 89a d04b765537b6e6a1e8c hxxp://okhtinka.ru.hoster-ok.com/qdiqooeo 85b68722e4f3011c346d671622d9f10a hxxp://olgastudio.ro/ufq3ex17 becd792ca f0fe9eee52570c8 hxxp://papamama.com.sg/zhbepez b361a74123acf2b76d134a7df0decb85 hxxp://piggy.riffle.be/~gniff/r9bzz ed307af25c5991a a5462db6f1 hxxp://robertstefan.home.ro/pycz4o ca3ff e56a70c731298dbe1b92 hxxp://s1prod-ams.ho.ua/c6vt8s 48ff3d4b0b3fdf0741f049d2d6f439cd hxxp://sardain.fr/j hxxp:// hxxp:// hxxp://aminghausen.com/j hxxp://schefman.info/j hxxp://whvf2gm5n.homepage.t-online.de/j hxxp:// ba8ae7ada71c82061a1e92a9093

5 hxxp://sav-krelingen.de/36r3qe8 hxxp://schefman.info/snjqz hxxp://studiobbou.com/~studio/49n7m hxxp://theworldforce.de/iit64l0 hxxp://ukrasnogomosta.ru/prfyvy hxxp://vidonet.es/lvnni6z8 hxxp:// hxxp:// hxxp:// hxxp:// hxxp:// hxxp:// hxxp:// hxxp:// hxxp:// hxxp:// hxxp:// hxxp:// hxxp:// hxxp:// hxxp:// hxxp:// hxxp:// hxxp:// hxxp:// hxxp:// hxxp:// hxxp://zckupila.republika.pl/m6w6uu5f 1fb8bd76d8b2988a3f9abf18f4cd2ba3 093d ae9f0c86dffefc2124a dd329cfd6f7b98a1177b2af 7e62854c512ad3f272c1eec2196f74fe 025a55ec59298fb8bb0282ca3f2123aa 6ebee58c943a5615c3ff01498d0f92d e893a4e93fe102180e5014effa df5f6ab14062b3b a0237f5 baecf3e09468cb337573a30418a469f f6f91edaa376d4ba03ef25b e0e7f1def956d861f0fd0f75d3758 fe10d95998a74c06749a1afe3c944ff2 8f9b899f956731bf7c2b34fce384356d 28fa fb7dcd011e1479aa9 8a e53da4fd9b15d18ebc074 ad77aeabbecd67f25d3ff29733f390df a5c535a3647f3ea48e968e77817e3ed a59c94ee70451ffa33df77348d5 4e1c556cacd434a6dbf314e2ac58b05d 828a5c42c df50687da379d6b 0f45eb205f3e9775e369e98bb22398ec 179e947a45395f1d069ad6a2689b086c cc48888c2751b527fd7fa7be2a7befcd 800db8df5c8d583a8aa938bcdb4d cdec7c4561a83a6134b3696d28fde3 393cbf2d573820ee71b9a75e60cb b ad8a1977e385dcfa e7514f427d56b4f9ba2ad4435f0116a1 Allegati Allegato al presente bollettino il file CERT-PA-B Allegato.html (disponibile anche in formato CSV: CERT-PA-B csv) contenente informazioni di maggiore dettaglio e analisi di quanto riportato al paragrafo precedente. CERT-PA-B

Documenti analoghi

ID: CERT-PA-B Data: 09/12/2015

ID: CERT-PA-B Data: 09/12/2015 Bollettino: Nuova variante Cryptolocker ID: Data: 09/12/2015 AVVERTENZE Il documento ha lo scopo di fornire alle Amministrazioni accreditate il quadro di riferimento degli scenari di minaccia rilevati