Recentemente abbiamo parlato nel dettaglio dei ransomware, spiegando cosa sono, come funzionano e come proteggersi, ma i criminali informatici continuano a evolversi implementando nuovi trucchi per diffondere tali malware in rete, anche tramite le prime pagine dei risultati di ricerca su Google.

Stando a un rapporto del team di sicurezza di AT&T ripreso da TechRadar, il team dietro il ransomware Sodinokibi (noto maggiormente per il suo utilizzo da parte del gruppo REvil) avrebbe iniziato a ottimizzare i domini dannosi con trucchi SEO (Search Engine Optimization) per spingerli in cima alle classifiche di ricerca di Google.

Tra gli scenari analizzati dal team di esperti, uno in particolare mostra quanto sia pericoloso ora effettuare ricerche sul motore di ricerca di Big G e non solo: un sito dannoso contenente il ransomware Sodinokibi è infatti apparso in ottava posizione sulla prima pagina di Google alla ricerca della frase chiave “Missouri and Kansas tax reciprocity”. All’apertura di tale portale Web, il client scarica automaticamente un file JavaScript pericoloso contenente tale ransomware: senza le protezioni di sicurezza attive sul PC, che fortunatamente mitigano automaticamente la diffusione del ransomware, il dispositivo sarebbe stato infettato in pochissimo tempo.

Gli esperti hanno però notato che il dominio pericoloso in questione era estremamente distinguibile: prima di tutto, esso utilizzava il protocollo HTTP anziché il più sicuro HTTPS; ancora, l’URL della pagina Web non aveva nulla a che fare con il titolo stesso della pagina, la quale tra l’altro conteneva soltanto un link per il download dello script in questione. In altre parole, alla sua apertura ogni utente avrebbe avuto qualche minimo sospetto della natura del sito.

Certo è che la sua apparizione come ottavo risultato su Google è allarmante, sebbene la stringa specifica cercata sia molto particolare. Ora l’allarme si allarga ad altre query di ricerca, con i ricercatori che si chiedono quali termini chiave sono presi di mira dai cybercriminali. L’avvertimento da loro dato all’utenza resta quello di evitare i siti Web non protetti da HTTPS, evitare di scaricare contenuti da fonti sconosciute e proteggersi con un antivirus d’alta qualità.

Sempre a proposito di ransomware, recentemente Gigabyte è stata vittima di un attacco che ha portato al furto di documenti riservati di Intel e AMD.