Introduzione
Il panorama dei ransomware è un ecosistema complesso, affollato e in rapida evoluzione. Gruppi nuovi e rinominati appaiono e scompaiono continuamente, mentre gli operatori dietro di loro condividono, noleggiano, rubano o copiano gli strumenti di attacco, i playbook e persino l’infrastruttura gli uni degli altri.
Sophos monitora e riferisce sul panorama dei ransomware da anni, costruendo una libreria di informazioni e analisi senza pari. Il Ransomware Threat Intelligence Center raccoglie un elenco curato degli articoli di ricerca e dei report più importanti pubblicati da Sophos sulle minacce ransomware prevalenti, nuove ed emergenti, inclusi strumenti, tecniche e comportamenti, dal 2018 ad oggi. Il contenuto verrà aggiornato regolarmente man mano sarà disponibile nuovo materiale.
Per ulteriori informazioni sul ransomware, compresi i consigli sulle best practice di sicurezza e l’ultimo rapporto sullo stato del ransomware, visitate le Risorse di Sophos per fermare il ransomware.
Le Ricerche e i report di Sophos sui gruppi di ransomware prevalenti e nuovi, dal 2018 al 2022
Astro Locker
Sophos MTR in real time: What is Astro Locker team?
31 marzo 2021 – Un’indagine di incident response di Sophos scopre somiglianze tra Astro Locker e il ransomware Mount Locker
Avos Locker
Avos Locker remotely accesses boxes, even running in Safe Mode
22 dicembre 2021 – Sophos segnala come il relativamente nuovo ransomware-as-a-service (RaaS), Avos Locker avvia i computer di destinazione in modalità provvisoria per eseguire il ransomware tentando di disabilitare il software di sicurezza
Atom Silo
Atom Silo ransomware actors use Confluence exploit, DLL side-load for stealthy attack
4 ottobre 2021 – Sophos segnala un attacco da parte del gruppo di ransomware relativamente nuovo Atom Silo che ha sfruttato una recente vulnerabilità nel software di collaborazione Confluence di Atlassian e ha cercato di bloccare il software di protezione degli endpoint. La vulnerabilità di Confluence è stata sfruttata anche da un crypto miner
Avaddon
What to expect when you’ve been hit with Avaddon ransomware
24 maggio 2021 – Parte di una serie progettata per aiutare gli amministratori IT ad affrontare l’impatto di un attacco che coinvolge una particolare famiglia di ransomware
Black Kingdom
Black Kingdom ransomware begins appearing on Exchange servers
23 marzo 2021 – Sophos segnala un nuovo ransomware, anche se abbastanza semplice, che prende di mira i server Microsoft Exchange a cui non è stata applicata una patch contro l’exploit ProxyLogon
BlackMatter
BlackMatter ransomware emerges from the shadow of DarkSide
9 agosto 2021 – Sophos segnala un nuovo RaaS che si chiama BlackMatter e adotta strumenti e tecniche da REvil, DarkSide e LockBit 2.0
Conti
Sophos ha ampiamente parlato della prolifica operazione RaaS Conti. I ricercatori continueranno a seguire l’evoluzione di questa minaccia di alto profilo dopo gli eventi dell’inizio di marzo 2022, quando la posizione di Conti sulla guerra tra Russia e Ucraina ha portato a una serie di divulgazioni pubbliche del suo playbook di attacco, set di strumenti, comunicazioni interne, codice sorgente e altro ancora.
L’analisi e le informazioni di Sophos sul ransomware Conti includono:
What to expect when you’ve been hit with Conti ransomware
16 febbraio 2021 – Parte di una serie progettata per aiutare gli amministratori IT ad affrontare l’impatto di un attacco che coinvolge una particolare famiglia di ransomware
Conti ransomware: Evasive by nature
16 febbraio 2021 – Sophos riferisce di come gli aggressori che diffondono Conti hanno cambiato marcia verso un metodo di attacco completamente fileless
A Conti ransomware attack day-by-day
16 febbraio 2021 – Sophos segnala lo svolgersi di un incidente ransomware Conti
Conti affiliates use ProxyShell Exchange exploit in ransomware attacks
3 settembre 2021 – Sophos riferisce di un’indagine su un attacco ransomware Conti in cui gli aggressori hanno utilizzato un exploit ProxyShell
Conti and Karma actors attack healthcare provider at same time through ProxyShell exploits
2 marzo 2022 – Sophos segnala un raro attacco doppio ransomware, in cui gli operatori di ransomware Karma e Conti erano contemporaneamente nella rete di un operatore sanitario
Cring
Cring ransomware group exploits ancient ColdFusion server
21 settembre 2021 – Sophos segnala che un attore di minacce sconosciuto sfrutta una vulnerabilità in un’installazione di Adobe ColdFusion 9 di 11 anni fa e distribuisce Cring un ransomware visto raramente
DearCry
DearCry ransomware attacks exploit Exchange server vulnerabilities
15 marzo 2021 – Sophos riferisce di un ransomware “esordiente” non sofisticato chiamato DearCry, che imita il famigerato ransomware WannaCry
Dharma
Color by numbers: inside a Dharma ransomware-as-a-service attack
12 agosto 2020 – Sophos riferisce sul Dharma RaaS che prende di mira le piccole imprese e fornisce agli affiliati script di attacco dettagliati e passo dopo passo
DarkSide
A defender’s view inside a DarkSide ransomware attack
11 maggio 2021 – Un’analisi approfondita di Sophos sui metodi di attacco del gruppo ransomware DarkSide
Egregor
Egregor ransomware: Maze’s heir apparent
8 dicembre 2020 – Sophos segnala una nuova variante RaaS del ransomware Sekhmet che sembra aver ripreso da dove si era interrotto Maze
Entropy
Dridex bots deliver Entropy ransomware in recent attacks
23 febbraio 2022 – Sophos segnala come il codice utilizzato nel ransomware Entropy abbia una somiglianza con il codice utilizzato nel malware Dridex, suggerendo una possibile origine comune
Epsilon Red
A new ransomware enters the fray: Epsilon Red
28 maggio 2021 – Sophos segnala un nuovo ransomware essenziale che scarica la maggior parte delle sue funzionalità su una serie di script di PowerShell
GandCrab
GandCrab 101: All about the most widely distributed ransomware of the moment
5 marzo 2019 – Un tuffo in profondità in un ransomware che ha dominato il panorama nel 2019
Directed attacks against MySQL servers deliver ransomware
24 maggio 2019 – Sophos segnala un avversario sconosciuto che attacca i database server di Windows con connessione a Internet con il ransomware GandCrab
Karma
Conti and Karma actors attack healthcare provider at same time through ProxyShell exploits
2 marzo 2022 – Sophos segnala un raro attacco doppio ransomware, in cui gli operatori di ransomware Karma e Conti erano contemporaneamente nella rete di un operatore sanitario
LockBit
LockBit ransomware borrows tricks to keep up with REvil and Maze
24 aprile 2020 – Sophos segnala come LockBit stia implementando tecniche e comportamenti di altri gruppi ransomware di alto profilo
LockBit uses automated attack tools to identify tasty targets
21 ottobre 2021 – Sophos riferisce in che modo gli operatori dietro il ransomware LockBit stanno utilizzando copie rinominate di PowerShell e altri strumenti automatizzati per cercare sistemi con dati preziosi
LockFile
LockFile ransomware’s box of tricks: intermittent encryption and evasion
27 agosto 2021 – Sophos scopre una nuova famiglia di ransomware che sfrutta ProxyShell e utilizza la crittografia intermittente dei file per eludere il rilevamento da parte di strumenti anti-ransomware
Matrix
Matrix: Targeted, small scale, canary in the coalmine ransomware
30 gennaio 2019 – Sophos racconta come il ransomware non sofisticato Matrix riesce, sfruttando i desktop remoti vulnerabili, a violare le reti e distruggere gli obiettivi
Maze ransomware: extorting victims for 1 year and counting
Maze
Maze ransomware: extorting victims for 1 year and counting
12 maggio 2020 – Sophos riferisce di come gli operatori di ransomware Maze siano stati una delle prime operazioni di ransomware a utilizzare il furto di dati come un modo per costringere le vittime a pagare la richiesta di riscatto
Maze attackers adopt Ragnar Locker virtual machine technique
17 settembre 2020 – Sophos riferisce di come gli operatori di Maze abbiano adottato una ingombrante tecnica di distribuzione del ransomware da Ragnar Locker dopo diversi tentativi falliti di distribuire il ransomware
Casebook MTR: blocco di un attacco ransomware Maze da 15 milioni di dollari
22 settembre 2020 – Un resoconto quotidiano dello svolgersi di un importante attacco ransomware Maze
MegaCortex
“MegaCortex” ransomware wants to be The One
3 maggio 2019 – Sophos segnala un nuovo e sofisticato gruppo di ransomware che sfrutta componenti sia automatizzati che manuali
MegaCortex, deconstructed: mysteries mount as analysis continues
10 maggio 2019 – Un articolo di ricerca che include nuove informazioni sugli strumenti, le tecniche e le tattiche di depistaggio del gruppo ransomware
Memento
New ransomware actor uses password protected archives to bypass encryption protection
18 novembre 2021 – Sophos riferisce di un incidente che ha coinvolto il nuovo gruppo di ransomware, Memento, che non è riuscito a crittografare i file, quindi li ha copiati in archivi protetti da password
Midas
Windows services lay the groundwork for a Midas ransomware attack
25 gennaio 2022 – Sophos segnala un attacco ransomware che ha fatto ampio uso di servizi di accesso remoto vulnerabili e script PowerShell
Nefilim
Nefilim Ransomware Attack Uses “Ghost” Credentials
26 gennaio 202 – Sophos segnala un incidente in cui gli aggressori hanno ottenuto l’accesso all’obiettivo utilizzando le credenziali dell’account di un dipendente deceduto
Netwalker
Netwalker ransomware tools give insight into threat actor
27 maggio 2020 – Sophos descrive in dettaglio le tattiche, le tecniche e le procedure (TTP) utilizzate da Netwalker dopo aver scoperto un tesoro di malware e file correlati
ProLock
ProLock ransomware gives you the first 8 kilobytes of decryption for free
27 luglio 2020 – Sophos riferisce sulla catena di attacco e sui TTP di questo nuovo ransomware
Python
Python ransomware script targets ESXi server for encryption
5 ottobre 2021 – Sophos segnala uno degli attacchi ransomware più veloci mai visti, in cui uno script Python sull’hypervisor della macchina virtuale del bersaglio ha crittografato tutti i dischi virtuali
Ragnar Locker
Ragnar Locker ransomware deploys virtual machine to dodge security
21 maggio 2020 – Sophos segnala un incidente in cui gli aggressori hanno distribuito una macchina virtuale completa su ogni dispositivo preso di mira per nascondere il ransomware alla vista
Ragnarok
Asnarök attackers twice modified attack midstream
21 maggio 2021 – Sophos racconta come gli aggressori Asnarok tentano di distribuire il ransomware Ragnarok attraverso un firewall senza patch
REvil
Relentless REvil, revealed: RaaS as variable as the criminals who use it
11 giugno 2021 – Sophos descrive in dettaglio i diversi TTP visti tra i clienti affiliati di REvil RaaS
What to expect when you’ve been hit with REvil ransomware
30 giugno 2021 – Parte di una serie progettata per aiutare gli amministratori IT ad affrontare l’impatto di un attacco che coinvolge una particolare famiglia di ransomware
Independence Day: REvil uses supply chain exploit to attack hundreds of businesses
4 luglio 2021 – Sophos descrive in dettaglio l’attacco di cripto-estorsione lanciato da un affiliato di REvil utilizzando un aggiornamento dannoso per sfruttare il servizio di gestione remota VSA di Kaseya
RobbinHood
Living off another land: Ransomware borrows vulnerable driver to remove security software
6 febbraio 2020 – Sophos segnala gli attacchi in cui gli aggressori hanno implementato un driver hardware legittimo e firmato digitalmente per eliminare i prodotti di sicurezza dai computer presi di mira prima di distribuire il ransomware RobbinHood
Ryuk
They’re back: inside a new Ryuk ransomware attack
14 ottobre 2020 – Sophos segnala il ritorno di Ryuk dopo un periodo di silenzio, con strumenti evoluti per la compromissione e l’implementazione di ransomware
MTR in Real Time: Pirates pave way for Ryuk ransomware
6 maggio 2021 – Sophos riferisce di un incidente in cui il download di un programma software piratato ha portato gli aggressori a violare la rete di un istituto di ricerca e a distribuire il ransomware Ryuk
Sam Sam
Sophos releases SamSam ransomware report
31 luglio 2018 – Sophos rilascia un’analisi approfondita del ransomware SamSam
How a SamSam-like attack happens, and what you can do about it
29 novembre 2018 – Sophos descrive in dettaglio un tipico attacco ransomware SamSam e come difendersi da esso
Snatch
Snatch ransomware reboots PCs into Safe Mode to bypass protection
9 dicembre 2019 – Sophos segnala una nuova minaccia ibrida di furto di dati e ransomware che disabilita le protezioni di sicurezza riavviando i computer Windows durante l’attacco
WannaCry
16 settembre 2019 – Sophos segnala come, dopo più di due anni, le varianti WannaCry modificate causino ancora grattacapi agli amministratori IT e agli analisti della sicurezza
WastedLocker
WastedLocker’s techniques point to a familiar heritage
4 agosto 2020 – Sophos riferisce in che modo WastedLocker elude il rilevamento eseguendo la maggior parte delle operazioni in memoria e condivide diverse caratteristiche con la famiglia di ransomware Bitpaymer
Altre risorse
The Active Adversary Playbook 2021