Chiusi finti domini ENEL che veicolavano Cryptolocker

Sono stati chiusi dalla Polizia Postale, in collaborazione con la rete internazionale 24/7High Tech Crime del G8, 17 siti che emulavano il sito web ENEL al fine di diffondere una delle ultime versioni del ransomware Cryptolocker. I siti servivano per poter ospitare link contenenti i ransomware che, nei primi giorni di diffusione, passano indenni agli antivirus anche se aggiornati.

In particolare, per identificare i siti utilizzati per distribuire il trojan Cryptolocker è stato decisivo per la Polizia Postale l’apporto fornito dai partner internazionali come il Department of Cybercrime della Polizia Turca e il Dipartimento K del Ministero degli Interni Russo.

Il link ai siti web è contenuto nel testo di una mail che risulta inviata da “Enel Servizio Elettrico” e sembra contenere una bolletta ENEL da scaricare cliccando su di un link. Il pericolo non risiede nella mail ma nel file che si viene invitati a scaricare raggiungendo la pagina puntata dal link. Se avete cliccato e visitato la pagina, è sufficiente non scaricare quello che viene proposto come una bolletta ENEL ma in realtà è un dropper, cioé un software malevolo che ne scarica un altro al fine d’infettare il PC.

Di seguito l’elenco dei siti utilizzati da Cryptolocker per diffondere il payload che come buona parte dei ransomware infetta i PC dei malcapitati, cripta i loro dati e richiede un riscatto in bitcoin per poterli sbloccare.

enel24.net
enel24.org
enelservizio.com
enelservizio.net
enel24.com
enel-elettrico.org
enel-elettrico.com
enel-elettrico.net
enelelettrico.org
enelelettrico.com
enelelettrico.net
enel-italia24.net
enel-italia24.com
enelitalia-servizio.net
enelitalia-servizio.org
enelitalia-servizio.com
enelitalia.net

I domini risultano registrati a luglio 2015 tramite provider russo REG.RU LLC, probabilmente con dati falsi e ulteriormente mascherati tramite tramite servizi di Whois Privacy Protection come il “Privacy Protection Service INC d/b/a PrivacyProtect.org”.

Termini di ricerca frequenti

Ransomware Polizia Postale

13 Responses to "Chiusi finti domini ENEL che veicolavano Cryptolocker"

Gian Marco Cocchi ha detto:

22 Aprile 2016 alle 11:22

Nuova infezione di febbraio 2016
Falsa bolletta ENEL come mostrato in precedenza
Mittente indirizzo e-mail reale non associato a enel
Nome del mittente ‘ENEL spa’
link http://erikvdheide.com/fSwG7l8/Y5tafoju.php?id='e-mail del destinatario da infettare’

Rispondi
JAMESWT ha detto:

24 Agosto 2015 alle 9:51

nuovo sito
http://italia-bolletta24.net/f6xyxka.php?id=

Rispondi
JAMESWT ha detto:

22 Agosto 2015 alle 11:55

Nuovo sito FINTO TELECOM TIM

http://tim-bolletta.net/vyeufy.php?id=

Rispondi
JAMESWT ha detto:

20 Agosto 2015 alle 16:00

Nuovo sito questa volta FINTO TELECOM TIM

SITO FINTO
http://tim-bolletta.com/j0zqnid.php?id=

LINK NELLA MAIL DI SPAM
http://www.getbrightview.com/xT0F1yhA.php?id=

Rispondi
JAMESWT ha detto:

18 Agosto 2015 alle 13:07

nuovo sito
http://italia-bolletta24.com/f6xyxka.php?id=

Rispondi
JAMESWT ha detto:

12 Agosto 2015 alle 9:52

nuovo sito finto ENEL
http: // enel-bolletta24.net / t93hri.php?id=

Link ricevuto tramite la solita mail finta
http: // acesignsandprinting.com / 9u0HhLZ.php?

Rispondi
JAMESWT ha detto:

1 Agosto 2015 alle 9:28

La cosa più tragico comica è che
sul sito della polizia
https://www.commissariatodips.it/collabora/segnalazioni-e-reclami-nei-servizi-postali/segnala-online.html

non accetta l’inserimento dell’ URL perchè dice che non è valido … sarebbe il caso di AGGIORNARE il FORM di segnalazione da parte della POLIZIA

La polizia farebbe molto prima direttamente a contattare le case Antivirus facendosi dare la lista aggiornata giorno per giorno …. basta una mail con la richiesta a VirIT, Eset, Kaspersky, Trendmicro ecc ecc

Rispondi
1. paolo ha detto:
  
  1 Agosto 2015 alle 16:08
  
  In effetti purtroppo i siti si riescono a bloccare quando ormai il 90% delle vittime è già stato infettato e gli antivirus/firewall riconoscono da giorni sia i domini/IP compromessi sia i payload contenenti i dropper per scaricare i vari Cryptolocker. Purtroppo, a difesa delle Autorità impegnate quotidianamente a bloccare i domini agendo su DNS, hosting o registrar, non possiamo non osservare come operazioni che sembrano semplici (contattare le case produttrici di Antivirus, ad esempio) sono in realtà dal punto di vista operativo non così semplici. Sul funzionamento del form di segnalazione suggerisco di scrivere ai contatti del sito, credo che cercheranno di fixare il bug.
  
  Rispondi
JAMESWT ha detto:

1 Agosto 2015 alle 9:24

Nuovi sito FINTO ENEL con cryptolocker

http://enelservizio24.info/gij0xw.php?id=

Rispondi
1. paolo ha detto:
  
  1 Agosto 2015 alle 16:02
  
  Grazie per la segnalazione, purtroppo il sito risulta ancora attivo e come al solito esegue un controllo sullo User Agent mostrando a chi ha un Mac la scritta “Questa pagina web non supporta browser mobile/MAC. Si prega di utilizzare il browser del PC per visualizzare il contenuto” invece della finta pagina ENEL. Il link di download punta su area di file storage Yandex, dalla quale hanno per fortuna già rimosso il trojan.
  
  Rispondi
  1. JAMESWT ha detto:
    
    1 Agosto 2015 alle 19:17
    
    Si da YANDEX lo hanno rimosso perchè ho mandato MAIL
    Lo potete fare tutti basta scrivere in inglese a [email protected]
    
    oggetto malware abuse
    
    e nel testo il link diretto a yandex
    
    E loro lo cancellano
    
    Rispondi
    1. JAMESWT ha detto:
      
      1 Agosto 2015 alle 19:26
      
      errata corrige la email corretta è
      
      [email protected]
      
      loro rispondono così:
      “Thank you for the information you have provided. We have taken necessary measures.
      Please do not hesitate to contact us if you run into this situation again or if you have any questions.
      
      —
      Sincerely yours, Platon
      Yandex customer support
      http://company.yandex.com
      “
      
      Rispondi
      1. paolo ha detto:
        
        1 Agosto 2015 alle 19:46
        
        Ottimo consiglio: se chi riceve email con vettori di trojan segnalasse subito la cosa agli hosting che inconsapevolmente ospitano i dropper, molte potenziali vittime eviterebbero il contagio. Certamente non è da tutti capire su quale piattaforma è stato posizionato il trojan (vengono utilizzati Dropbox, Google, pCloud, Yandex, etc…) e segnalare la cosa al loro servizio di abuse… ma chi ha un minimo di conoscenze tecniche potrebbe farlo.
        
        Rispondi

Lascia un commento Annulla risposta

Questo sito usa Akismet per ridurre lo spam. Scopri come i tuoi dati vengono elaborati.

Cookie	Durata	Descrizione
cookielawinfo-checkbox-analytics	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Analytics".
cookielawinfo-checkbox-functional	11 months	The cookie is set by GDPR cookie consent to record the user consent for the cookies in the category "Functional".
cookielawinfo-checkbox-necessary	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookies is used to store the user consent for the cookies in the category "Necessary".
cookielawinfo-checkbox-others	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Other.
cookielawinfo-checkbox-performance	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Performance".
viewed_cookie_policy	11 months	The cookie is set by the GDPR Cookie Consent plugin and is used to store whether or not user has consented to the use of cookies. It does not store any personal data.