Site icon Sophos News

Nella cassetta degli attrezzi di una gang del ransomware

Fino ad alcuni anni fa una gang del ransomware avrebbe potuto inviare per e-mail un allegato malevolo a dieci milioni di persone, confidando sul fatto che diecimila di loro l’avrebbero aperto e sarebbero state colpite. Avrebbe poi contato (in senso figurato e letterale) su tremila o più delle vittime bloccate con poche alternative se non pagare $ 350 ciascuno, per un bottino totale di $ 1.000.000.

Quei primi criminali ransomware, come quelli dietro a malware come CryptoLocker, Locky e Teslacrypt, hanno estorto milioni di dollari e i loro crimini non sono stati complessivamente meno odiosi o distruttivi di quello a cui assistiamo oggi.

Ma i criminali ransomware di oggi tendono a scegliere intere organizzazioni come vittime.

I truffatori irrompono nelle reti una alla volta, ne imparano la struttura, elaborano la tecnica di attacco più efficace per ognuna e poi cifrano centinaia o migliaia di computer in un’intera organizzazione in una volta sola.

In casi come questo, in cui un’intera azienda si potrebbe trovare con tutte le sue attività commerciali bloccate perché tutti i suoi computer sono fuori servizio contemporaneamente, le richieste di riscatto non sono solo $ 300 o $ 30.000 – possono essere $ 3.000.000 o anche di più.

Come si può immaginare, questo significa che la parte ransomware degli attacchi di cifratura di oggi – il programma malware al centro del processo di crittografia – è ora solo un pezzo in una cassetta degli attrezzi molto più grande che una tipica gang del ransomware avrà a portata di mano .

La scorsa settimana, ad esempio, abbiamo scritto di un attacco della banda di Ragnar Locker in cui un eseguibile ransomware da 49 KB – un file creato appositamente per una vittima, con la nota di riscatto codificata nel programma stesso – è stato celato all’interno di una macchina virtuale Windows che serviva come una sorta di bozzolo di runtime per il malware.

I truffatori hanno distribuito una copia piratata del software di virtualizzazione Virtual Box su tutti i computer della rete della vittima, oltre a un file VM contenente una copia piratata di Windows XP, solo per avere un “giardino recintato” per il loro ransomware per permettergli di effettuare la cifratura indisturbato.

Ma siamo ancora lontani da tutto ciò che i criminali di oggi portano con sé per un tipico attacco, come i SophosLabs sono stati in grado di documentare di recente quando si sono imbattuti in un insieme di strumenti appartenenti a una gang del ransomware nota come Netwalker.

Sopra, tratto dal rapporto SophosLabs, c’è un grafico che mostra la gamma di strumenti utilizzati da questi truffatori durante un tipico attacco.

Da sinistra a destra, le colonne rivelano le varie attività su cui i criminali lavorano mentre si svolge l’attacco:

Esfiltrazione dei dati

Forse la cosa più importante da considerare in questo intero diagramma è la casella più in basso all’estrema destra, etichettata Data Exfiltration.

Quando il ransomware è diventato per la prima volta un problema serio, circa sette anni fa, l’idea di cifrare i file era un modo per i malfattori di “rubare” i tuoi file – nel senso criminale di privartene permanentemente – senza doverli prima caricare tutti.

Il computer medio e la rete tipica non avevano la larghezza di banda per renderlo possibile e il truffatore medio non aveva spazio sufficiente per conservare tutto.

Ma l’archiviazione cloud ha cambiato tutto e i truffatori che utilizzano i ransomware ora stanno comunemente rubando alcuni o tutti i tuoi dati prima di scatenare il loro attacco.

Stanno quindi usando questi dati rubati per aumentare la pressione delle loro richieste di riscatto minacciando di farti perdere o vendere i tuoi dati se non paghi, aggiungendo una ulteriore leva criminale anche se hai un processo di backup affidabile ed efficiente per recuperare i tuoi file.

Cosa fare?

Rifacendoci al nostro articolo di aprile 2020 intitolato 5 errori comuni che portano al ransomware, ecco i nostri consigli:

Naturalmente, non dimenticare l’ovvio: assicurati di utilizzare una protezione anti-ransomware. Sophos Intercept X e XG Firewall sono progettati per funzionare mano nella mano nella lotta al ransomware e ai suoi effetti. Le persone possono proteggersi con Sophos Home.

Exit mobile version