Nel Ransomware Threat Intelligence Center il panorama delle minacce è in continua evoluzione

Una raccolta di articoli di ricerca sulle minacce Sophos e report sulle operazioni di sicurezza relativi a gruppi di ransomware nuovi o prevalenti dal 2018 ad oggi. Il contenuto verrà aggiornato man mano che verranno pubblicate nuove ricerche

Introduzione

Il panorama dei ransomware è un ecosistema complesso, affollato e in rapida evoluzione. Gruppi nuovi e rinominati appaiono e scompaiono continuamente, mentre gli operatori dietro di loro condividono, noleggiano, rubano o copiano gli strumenti di attacco, i playbook e persino l’infrastruttura gli uni degli altri.

Sophos monitora e riferisce sul panorama dei ransomware da anni, costruendo una libreria di informazioni e analisi senza pari. Il Ransomware Threat Intelligence Center raccoglie un elenco curato degli articoli di ricerca e dei report più importanti pubblicati da Sophos sulle minacce ransomware prevalenti, nuove ed emergenti, inclusi strumenti, tecniche e comportamenti, dal 2018 ad oggi. Il contenuto verrà aggiornato regolarmente man mano sarà disponibile nuovo materiale.

Per ulteriori informazioni sul ransomware, compresi i consigli sulle best practice di sicurezza e l’ultimo rapporto sullo stato del ransomware, visitate le Risorse di Sophos per fermare il ransomware.

Le Ricerche e i report di Sophos sui gruppi di ransomware prevalenti e nuovi, dal 2018 al 2022

Astro Locker

Sophos MTR in real time: What is Astro Locker team?

31 marzo 2021 – Un’indagine di incident response di Sophos scopre somiglianze tra Astro Locker e il ransomware Mount Locker

Avos Locker

Avos Locker remotely accesses boxes, even running in Safe Mode

22 dicembre 2021 – Sophos segnala come il relativamente nuovo ransomware-as-a-service (RaaS), Avos Locker avvia i computer di destinazione in modalità provvisoria per eseguire il ransomware tentando di disabilitare il software di sicurezza

Atom Silo

Atom Silo ransomware actors use Confluence exploit, DLL side-load for stealthy attack  

4 ottobre 2021 – Sophos segnala un attacco da parte del gruppo di ransomware relativamente nuovo Atom Silo che ha sfruttato una recente vulnerabilità nel software di collaborazione Confluence di Atlassian e ha cercato di bloccare il software di protezione degli endpoint. La vulnerabilità di Confluence è stata sfruttata anche da un crypto miner

Avaddon

What to expect when you’ve been hit with Avaddon ransomware

24 maggio 2021 – Parte di una serie progettata per aiutare gli amministratori IT ad affrontare l’impatto di un attacco che coinvolge una particolare famiglia di ransomware

Black Kingdom

Black Kingdom ransomware begins appearing on Exchange servers

23 marzo 2021 – Sophos segnala un nuovo ransomware, anche se abbastanza semplice, che prende di mira i server Microsoft Exchange a cui non è stata applicata una patch contro l’exploit ProxyLogon

BlackMatter

BlackMatter ransomware emerges from the shadow of DarkSide

9 agosto 2021 – Sophos segnala un nuovo RaaS che si chiama BlackMatter e adotta strumenti e tecniche da REvil, DarkSide e LockBit 2.0

Conti

Sophos ha ampiamente parlato della prolifica operazione RaaS Conti. I ricercatori continueranno a seguire l’evoluzione di questa minaccia di alto profilo dopo gli eventi dell’inizio di marzo 2022, quando la posizione di Conti sulla guerra tra Russia e Ucraina ha portato a una serie di divulgazioni pubbliche del suo playbook di attacco, set di strumenti, comunicazioni interne, codice sorgente e altro ancora.

L’analisi e le informazioni di Sophos sul ransomware Conti includono:

What to expect when you’ve been hit with Conti ransomware

16 febbraio 2021 – Parte di una serie progettata per aiutare gli amministratori IT ad affrontare l’impatto di un attacco che coinvolge una particolare famiglia di ransomware

Conti ransomware: Evasive by nature

16 febbraio 2021 – Sophos riferisce di come gli aggressori che diffondono Conti hanno cambiato marcia verso un metodo di attacco completamente fileless

A Conti ransomware attack day-by-day

16 febbraio 2021 – Sophos segnala lo svolgersi di un incidente ransomware Conti

Conti affiliates use ProxyShell Exchange exploit in ransomware attacks

3 settembre 2021 – Sophos riferisce di un’indagine su un attacco ransomware Conti in cui gli aggressori hanno utilizzato un exploit ProxyShell

Conti and Karma actors attack healthcare provider at same time through ProxyShell exploits

2 marzo 2022 – Sophos segnala un raro attacco doppio ransomware, in cui gli operatori di ransomware Karma e Conti erano contemporaneamente nella rete di un operatore sanitario

Cring

Cring ransomware group exploits ancient ColdFusion server

21 settembre 2021 – Sophos segnala che un attore di minacce sconosciuto sfrutta una vulnerabilità in un’installazione di Adobe ColdFusion 9 di 11 anni fa e distribuisce Cring un ransomware visto raramente

DearCry

DearCry ransomware attacks exploit Exchange server vulnerabilities

15 marzo 2021 – Sophos riferisce di un ransomware “esordiente” non sofisticato chiamato DearCry, che imita il famigerato ransomware WannaCry

Dharma

Color by numbers: inside a Dharma ransomware-as-a-service attack

12 agosto 2020 – Sophos riferisce sul Dharma RaaS che prende di mira le piccole imprese e fornisce agli affiliati script di attacco dettagliati e passo dopo passo

DarkSide

A defender’s view inside a DarkSide ransomware attack

11 maggio 2021 – Un’analisi approfondita di Sophos sui metodi di attacco del gruppo ransomware DarkSide

Egregor

Egregor ransomware: Maze’s heir apparent

8 dicembre 2020 – Sophos segnala una nuova variante RaaS del ransomware Sekhmet che sembra aver ripreso da dove si era interrotto Maze

Entropy

Dridex bots deliver Entropy ransomware in recent attacks

23 febbraio 2022 – Sophos segnala come il codice utilizzato nel ransomware Entropy abbia una somiglianza con il codice utilizzato nel malware Dridex, suggerendo una possibile origine comune

Epsilon Red

A new ransomware enters the fray: Epsilon Red

28 maggio 2021 – Sophos segnala un nuovo ransomware essenziale che scarica la maggior parte delle sue funzionalità su una serie di script di PowerShell

GandCrab

GandCrab 101: All about the most widely distributed ransomware of the moment

5 marzo 2019 – Un tuffo in profondità in un ransomware che ha dominato il panorama nel 2019

Directed attacks against MySQL servers deliver ransomware

24 maggio 2019 – Sophos segnala un avversario sconosciuto che attacca i database server di Windows con connessione a Internet con il ransomware GandCrab

Karma

Conti and Karma actors attack healthcare provider at same time through ProxyShell exploits

2 marzo 2022 – Sophos segnala un raro attacco doppio ransomware, in cui gli operatori di ransomware Karma e Conti erano contemporaneamente nella rete di un operatore sanitario

LockBit

LockBit ransomware borrows tricks to keep up with REvil and Maze

24 aprile 2020 – Sophos segnala come LockBit stia implementando tecniche e comportamenti di altri gruppi ransomware di alto profilo

LockBit uses automated attack tools to identify tasty targets

21 ottobre 2021 – Sophos riferisce in che modo gli operatori dietro il ransomware LockBit stanno utilizzando copie rinominate di PowerShell e altri strumenti automatizzati per cercare sistemi con dati preziosi

LockFile

LockFile ransomware’s box of tricks: intermittent encryption and evasion

27 agosto 2021 – Sophos scopre una nuova famiglia di ransomware che sfrutta ProxyShell e utilizza la crittografia intermittente dei file per eludere il rilevamento da parte di strumenti anti-ransomware

Matrix

Matrix: Targeted, small scale, canary in the coalmine ransomware

30 gennaio 2019 – Sophos racconta come il ransomware non sofisticato Matrix riesce, sfruttando i desktop remoti vulnerabili, a violare le reti e distruggere gli obiettivi

Maze ransomware: extorting victims for 1 year and counting

Maze

Maze ransomware: extorting victims for 1 year and counting

12 maggio 2020 – Sophos riferisce di come gli operatori di ransomware Maze siano stati una delle prime operazioni di ransomware a utilizzare il furto di dati come un modo per costringere le vittime a pagare la richiesta di riscatto

Maze attackers adopt Ragnar Locker virtual machine technique

17 settembre 2020 – Sophos riferisce di come gli operatori di Maze abbiano adottato una ingombrante tecnica di distribuzione del ransomware da Ragnar Locker dopo diversi tentativi falliti di distribuire il ransomware

Casebook MTR: blocco di un attacco ransomware Maze da 15 milioni di dollari

22 settembre 2020 – Un resoconto quotidiano dello svolgersi di un importante attacco ransomware Maze

MegaCortex

“MegaCortex” ransomware wants to be The One

3 maggio 2019 – Sophos segnala un nuovo e sofisticato gruppo di ransomware che sfrutta componenti sia automatizzati che manuali

MegaCortex, deconstructed: mysteries mount as analysis continues

10 maggio 2019 – Un articolo di ricerca che include nuove informazioni sugli strumenti, le tecniche e le tattiche di depistaggio del gruppo ransomware

Memento

New ransomware actor uses password protected archives to bypass encryption protection

18 novembre 2021 – Sophos riferisce di un incidente che ha coinvolto il nuovo gruppo di ransomware, Memento, che non è riuscito a crittografare i file, quindi li ha copiati in archivi protetti da password

Midas

Windows services lay the groundwork for a Midas ransomware attack

25 gennaio 2022 – Sophos segnala un attacco ransomware che ha fatto ampio uso di servizi di accesso remoto vulnerabili e script PowerShell

Nefilim

Nefilim Ransomware Attack Uses “Ghost” Credentials

26 gennaio 202 – Sophos segnala un incidente in cui gli aggressori hanno ottenuto l’accesso all’obiettivo utilizzando le credenziali dell’account di un dipendente deceduto

Netwalker

Netwalker ransomware tools give insight into threat actor

27 maggio 2020 – Sophos descrive in dettaglio le tattiche, le tecniche e le procedure (TTP) utilizzate da Netwalker dopo aver scoperto un tesoro di malware e file correlati

ProLock

ProLock ransomware gives you the first 8 kilobytes of decryption for free

27 luglio 2020 – Sophos riferisce sulla catena di attacco e sui TTP di questo nuovo ransomware

Python

Python ransomware script targets ESXi server for encryption

5 ottobre 2021 – Sophos segnala uno degli attacchi ransomware più veloci mai visti, in cui uno script Python sull’hypervisor della macchina virtuale del bersaglio ha crittografato tutti i dischi virtuali

Ragnar Locker

Ragnar Locker ransomware deploys virtual machine to dodge security

21 maggio 2020 – Sophos segnala un incidente in cui gli aggressori hanno distribuito una macchina virtuale completa su ogni dispositivo preso di mira per nascondere il ransomware alla vista

Ragnarok

Asnarök attackers twice modified attack midstream

21 maggio 2021 – Sophos racconta come gli aggressori Asnarok tentano di distribuire il ransomware Ragnarok attraverso un firewall senza patch

REvil

Relentless REvil, revealed: RaaS as variable as the criminals who use it

11 giugno 2021 – Sophos descrive in dettaglio i diversi TTP visti tra i clienti affiliati di REvil RaaS

What to expect when you’ve been hit with REvil ransomware

30 giugno 2021 – Parte di una serie progettata per aiutare gli amministratori IT ad affrontare l’impatto di un attacco che coinvolge una particolare famiglia di ransomware

Independence Day: REvil uses supply chain exploit to attack hundreds of businesses

4 luglio 2021 – Sophos descrive in dettaglio l’attacco di cripto-estorsione lanciato da un affiliato di REvil utilizzando un aggiornamento dannoso per sfruttare il servizio di gestione remota VSA di Kaseya

RobbinHood

Living off another land: Ransomware borrows vulnerable driver to remove security software

6 febbraio 2020 – Sophos segnala gli attacchi in cui gli aggressori hanno implementato un driver hardware legittimo e firmato digitalmente per eliminare i prodotti di sicurezza dai computer presi di mira prima di distribuire il ransomware RobbinHood

Ryuk

They’re back: inside a new Ryuk ransomware attack

14 ottobre 2020 – Sophos segnala il ritorno di Ryuk dopo un periodo di silenzio, con strumenti evoluti per la compromissione e l’implementazione di ransomware

MTR in Real Time: Pirates pave way for Ryuk ransomware

6 maggio 2021 – Sophos riferisce di un incidente in cui il download di un programma software piratato ha portato gli aggressori a violare la rete di un istituto di ricerca e a distribuire il ransomware Ryuk

Sam Sam

Sophos releases SamSam ransomware report

31 luglio 2018 – Sophos rilascia un’analisi approfondita del ransomware SamSam

How a SamSam-like attack happens, and what you can do about it

29 novembre 2018 – Sophos descrive in dettaglio un tipico attacco ransomware SamSam e come difendersi da esso

Snatch

Snatch ransomware reboots PCs into Safe Mode to bypass protection

9 dicembre 2019 – Sophos segnala una nuova minaccia ibrida di furto di dati e ransomware che disabilita le protezioni di sicurezza riavviando i computer Windows durante l’attacco

WannaCry

The WannaCry hangover

16 settembre 2019 – Sophos segnala come, dopo più di due anni, le varianti WannaCry modificate causino ancora grattacapi agli amministratori IT e agli analisti della sicurezza

WastedLocker

WastedLocker’s techniques point to a familiar heritage

4 agosto 2020 – Sophos riferisce in che modo WastedLocker elude il rilevamento eseguendo la maggior parte delle operazioni in memoria e condivide diverse caratteristiche con la famiglia di ransomware Bitpaymer

Altre risorse

How ransomware attacks: What defenders should know about the most prevalent and persistent ransomware families

The Active Adversary Playbook 2021

The Sophos 2019 Threat Report

The Sophos 2020 Threat Report

The Sophos 2021 Threat Report

The Sophos 2022 Threat Report