L’attacco ransomware è una cosa abbastanza frequente (purtroppo).
Mercoledì la divisione di intelligence sulle minacce informatiche di Microsoft ha segnalato che un sottogruppo di hacker iraniani identificato come Phosphorus sta conducendo attacchi ransomware come una “forma di chiaro di luna” per tornaconto personale.
Se in precedenza Microsoft ci aveva avvisato di una minaccia da parte di autori russi, questa volta il teatro si sposta nel Medioriente: attacco ransomware da parte di ignoti autori iraniani.
Il gigante della tecnologia, che sta monitorando il cluster di attività con il soprannome di DEV-0270 (alias Nemesis Kitten), ha affermato che è gestito da una società che opera sotto gli alias pubblici Secnerd e Lifeweb, citando collegamenti tra il gruppo e le due organizzazioni.
Come funziona, dunque, questo attacco ransomware? Microsoft risponde!
“DEV-0270 sfrutta gli exploit per le vulnerabilità ad alta gravità per ottenere l’accesso ai dispositivi ed è noto per l’adozione anticipata delle vulnerabilità appena divulgate“, ha affermato Microsoft.
“DEV-0270 utilizza anche ampiamente i living-off-the-land binariesa (LOLBIN) durante tutta la catena di attacco [ransomware] per il rilevamento e l’accesso alle credenziali. Ciò si estende all’abuso dello strumento BitLocker integrato per crittografare i file sui dispositivi compromessi“.
L’uso di BitLocker e DiskCryptor da parte degli hacker iraniani per un attacco ransomware è emerso all’inizio di maggio, quando Secureworks ha rivelato una serie di intrusioni montate da un gruppo conosciuto con il nome di Cobalt Mirage con legami con Phosphorus (alias Cobalt Illusion) e TunnelVision.
DEV-0270 è noto per eseguire una scansione su Internet che serve a trovare server e dispositivi che presentano vulnerabilità “inserendosi” in programmi come Microsoft Exchange Server, Fortinet FortiGate SSL-VPN e Apache Log4j per ottenere l’accesso iniziale, seguito da attività di ricognizione della rete e successivo furto di credenziali.
L’accesso alla rete compromessa si ottiene insistendo (come gli attacchi brute force) tramite un’attività pianificata.
DEV-0270 quindi ottiene i privilegi a livello di sistema, e ciò gli consente di eseguire azioni successive (quei famosi file che devi pagare per riaverli indietro: questo è un attacco ransomware per capirci), come ad esempio la disattivazione di Microsoft Defender Antivirus per eludere il rilevamento, e la successiva crittografia dei file.
“Il gruppo utilizza comunemente i comandi WMI, net, CMD e PowerShell nativi e le configurazioni del registro per mantenere la sicurezza operativa e invisibile“, ha affermato Microsoft. “Installano e mascherano i loro binari personalizzati come processi legittimi per nascondere la loro presenza“.
Se ti prende questo attacco ransomware: possibili soluzioni
Si consiglia agli utenti di dare la priorità all’applicazione di patch ai server Exchange con connessione a Internet per mitigare i rischi, impedire alle appliance di rete come i dispositivi Fortinet SSL-VPN di effettuare connessioni arbitrarie a Internet, applicare password complesse e mantenere backup regolari dei dati.
“Ransom”, infatti, vuol dire “riscatto”, l’attacco ransomware prima cripta tutti i dati più o meno importanti sul tuo computer e dopo gli autori ti chiedono il riscatto, sì, in moneta sonante però.
Se hai fatto un backup in precedenza, tipo due ore prima o il giorno prima non hai assolutamente nulla da temere; poiché avrai di nuovo tutto.
Se, al contrario, non hai questa abitudine le cose si complicano un pochino…
Solitamente questo genere di attacchi avviene tramite posta elettronica: mail ingannevoli che sembrano più che legittime!
Vuoi poi che ci sia un file che scarichi e parte addirittura da solo, vuoi i famosi “link per allocchi“, ecco che la frittata è fatta. Presta quindi molta attenzione alle mail.
C’è anche da dire che questo attacco ransomware non sempre avviene tramite mail ingannevole, potrebbe benissimo essere un tantino sofisticato ed avvicinarsi a come nell’immaginario collettivo si immagina l’hacker. In ogni caso se hai fatto il backup non hai nulla da temere!