Decriptazione del ransomware: ci pensa Kaspersky

Tratto da www.lineaedp.it

Redazione: LineaEDP – 17/03/2023

Kaspersky presenta un tool per la decriptazione del ransomware basato sul codice sorgente del gruppo Conti precedentemente rivelato

Kaspersky ha pubblicato l’aggiornamento dello strumento di decriptazione del ransomware di una versione basata sul codice sorgente del gruppo Conti precedentemente rivelato. Si tratta di una gang specializzata in ransomware che domina la scena del cybercrimine dal 2019 e i cui dati, compreso il codice sorgente, sono stati rivelati a marzo 2022 in seguito a un conflitto interno causato dalla crisi geopolitica in Europa. La modifica scoperta è stata distribuita da un gruppo ransomware sconosciuto ed è stata utilizzata per colpire aziende e istituzioni statali.

Verso la fine di febbraio 2023, gli esperti di Kaspersky hanno scoperto una nuova fuga di dati, pubblicati sui forum. In seguito ad un’analisi delle informazioni che contenevano 258 chiavi private, il codice sorgente e alcuni decrittatori precompilati, Kaspersky ha rilasciato una nuova versione del sistema di decriptazione pubblico per aiutare le vittime degli attacchi causati dal gruppo Conti.

Conti è apparso alla fine del 2019 ed è stato molto attivo per tutto il 2020, rappresentando più del 13% di tutte le vittime di ransomware. Tuttavia, un anno fa, una volta trapelato il codice sorgente, diverse modifiche del ransomware Conti sono state create da diverse bande di criminali e utilizzate nei loro attacchi.

La variante del malware di cui sono state diffuse le chiavi era stata scoperta dagli specialisti di Kaspersky a dicembre 2022 ed è stato utilizzato in diversi attacchi contro aziende e istituzioni statali.

Le chiavi private divulgate si trovano in 257 cartelle (solo una di queste contiene due chiavi). Alcune contengono decodificatori generati in precedenza e diversi file comuni: documenti, foto e altro. Presumibilmente questi sono file di prova – quelli che la vittima invia agli attaccanti per assicurarsi che possano essere decriptati.

Tra le cartelle, 34 contengono nomi di aziende e pubbliche amministrazioni. Supponendo che una cartella corrisponda a una vittima e che i decrittatori siano stati generati per le vittime che hanno pagato il riscatto, si può ipotizzare che 14 su 257 abbiano deciso di pagarlo.

Dopo aver analizzato i dati, gli esperti hanno rilasciato una nuova versione del programma di decriptazione pubblico per aiutare le vittime di questa variante del ransomware Conti. Il codice di decriptazione e tutte le 258 chiavi sono state aggiunte all’ultima build dell’utility RakhniDecryptor 1.40.0.00 di Kaspersky. Inoltre, lo strumento di decriptazione è stato aggiunto al sito “No Ransom” di Kaspersky.

Per la decriptazione del ransomware e per proteggersi da questo tipo di attacchi, Kaspersky consiglia di:

Non utilizzare i servizi di remote desktop (come RDP) sulle reti pubbliche se non è assolutamente necessario, è importante utilizzare sempre password sicure per questo servizio.
Installare tempestivamente le patch disponibili per le soluzioni VPN commerciali che forniscono accesso ai dipendenti che lavorano da remoto e costituiscono dei gateway per la rete.
Concentrare la strategia di difesa sul rilevamento di movimenti laterali ed esfiltrazione dei dati attraverso Internet. Prestare particolare attenzione al traffico in uscita per individuare le connessioni dei criminali informatici.
Eseguire regolarmente il backup dei dati. Assicurarsi di poter accedere rapidamente ai dati in caso di emergenza.
Utilizzare soluzioni come Kaspersky Endpoint Detection and Response Expert e il servizio Kaspersky Managed Detection and Response che aiutano a identificare e bloccare l’attacco nelle fasi iniziali, prima che i criminali informatici raggiungano i loro obiettivi finali.
Utilizzare le informazioni più recenti di Threat Intelligence per essere sempre al corrente sulle attuali TTP utilizzate dagli attori delle minacce. Il portale Kaspersky Threat Intelligence è un unico punto di accesso per la TI di Kaspersky, che fornisce dati e approfondimenti sui cyberattacchi raccolti dal nostro team in 25 anni. Per aiutare le aziende a mettere in atto difese efficaci in questi tempi difficili, Kaspersky ha annunciato l’accesso gratuito a informazioni indipendenti, continuamente aggiornate e di provenienza globale sui cyberattacchi e le minacce in corso.

Per ulteriori informazioni sulle soluzioni Kaspersky: dircom@argonavis.it

CryWiper: il finto ransomware

Tratto da Blog Kaspersky

Autore: Editorial Team – 09/12/2022

Il nuovo malware CryWiper danneggia i file in modo irreversibile spacciandosi per ransomware

Gli esperti Kaspersky hanno scoperto un attacco da parte di un nuovo Trojan, ribattezzato CryWiper. A prima vista il malware sembra un ransomware: modifica i file, aggiunge loro un’estensione e salva un file README.txt con una richiesta di riscatto, che contiene l’indirizzo del portafogli Bitcoin, l’indirizzo e-mail di contatto degli sviluppatori del malware e l’ID dell’infezione. In realtà il malware è, a tutti gli effetti, un wiper. Un file modificato da CryWiper non potrà essere ripristinato al suo stato originale. Mai. Pertanto, se trovate una richiesta di riscatto e i vostri file presentano una nuova estensione .CRY non affrettatevi a pagare: è inutile.

In passato, gli esperti avevano già incontrato alcuni tipi di malware che diventavano wiper per sbaglio, a causa di errori degli sviluppatori che implementavano in modo alquanto maldestro algoritmi di crittografia. Tuttavia, questo non è il caso: gli esperti sono certi che lo scopo principale dei malviventi non sia il guadagno economico, bensì la distruzione dei dati. I file non vengono realmente crittografati in quanto il Trojan li sovrascrive con dati generati in modo pseudo-casuale.

Cosa sta cercando CryWiper?

Il Trojan danneggia dati non essenziali per il funzionamento del sistema operativo. Non coinvolge file con estensione .exe, .dll. .lnk, .sys oppure .msi, ignorando molte cartelle di sistema nella directory C:\Windows. Il malware si focalizza su database, archivi e documenti degli utenti.

Fino ad ora gli esperti Kaspersky hanno rilevato unicamente attacchi localizzati verso obiettivi nella Federazione Russa. In ogni caso, di solito, nessuno può garantire che lo stesso codice non venga utilizzato nuovamente verso target diversi.

Come funziona il Trojan CryWiper

Oltre a sovrascrivere direttamente il contenuto dei file con immondizia varia, CryWiper funziona così:

crea un task che riavvia il wiper ogni cinque minuti utilizzando Task Scheduler;
invia il nome del computer infetto al server C&C e attende un comando per iniziare l’attacco;
sospende i processi legati ai server di database MySQL e MS SQL, i server di posta MS Exchange e i servizi web di MS Active Directory (se così non fosse, l’accesso ad alcuni file verrebbe bloccato e sarebbe impossibile danneggiarli);
cancella le copie shadow dei file in modo che non possano essere riparati (tuttavia, per qualche strana ragione, solo nell’unità C:);
disabilita la connessione al sistema infetto tramite un protocollo di accesso remoto RDP.

Lo scopo di quest’ultima azione non è completamente chiaro. Probabilmente, con questo tipo di disattivazione gli sviluppatori del malware hanno cercato di complicare il lavoro dell’Incident Response Team, che avrebbe chiaramente preferito avere l’accesso remoto al computer infetto. Nel post su Securelist (disponibile solo in russo) potete trovare i dettagli tecnici dell’attacco, insieme agli indicatori di compromissione.

Come proteggersi

Gli esperti raccomandano i seguenti accorgimenti per proteggere i computer aziendali sia da ransomware che wiper:

controllate attentamente le connessioni di accesso remoto alla vostra infrastruttura; vietate le connessioni da network pubblici, permettete l’accesso RDP solo attraverso un tunnel VPN e utilizzate delle password uniche molto forti, oltre all’autenticazione a due fattori;
aggiornate il software critico regolarmente, prestando particolare attenzione al sistema operativo, alle soluzioni di sicurezza, ai client VPN e gli strumenti di accesso remoto;
sensibilizzate i dipendenti utilizzando, per esempio, degli strumenti specifici online;
utilizzate soluzioni avanzate di sicurezza per proteggere sia i dispositivi di lavoro che il perimetro della rete aziendale.

Qbot: il trojan bancario adesso colpisce le aziende

Tratto da www.bitmat.it

Autore: Redazione BitMAT – 07/10/2022

Gli esperti Kaspersky segnalano una campagna malware Qbot. I criminali informatici intercettano conversazioni esistenti e si inseriscono per diffondere file malevoli

Dopo un periodo di tregua, sta tornando una campagna dannosa che prende di mira le organizzazioni con il pericoloso malware Qbot. Kaspersky ha identificato una nuova ondata di attività con oltre 1.500 utenti colpiti dal 28 settembre 2022. Tra i Paesi più attaccati ci sono gli Stati Uniti con 193 utenti, seguiti da Italia con 151, Germania con 93 e India con 74 (al 4 ottobre 2022). Kaspersky ha finora scoperto più di 400 siti web infetti che diffondono Qbot.

Qbot è un noto Trojan bancario, in grado di rubare i dati e le e-mail degli utenti dalle reti aziendali infette, di diffondersi ulteriormente nella rete e di installare ransomware o altri Trojan su altri dispositivi della rete. I criminali informatici presumibilmente intercettano le e-mail attive che riguardano conversazioni su questioni di lavoro e inviano ai destinatari un messaggio contenente un link con un file archiviato con una password da scaricare per infettare i loro dispositivi con un trojan bancario. Per convincere gli utenti ad aprire o scaricare il file, gli attaccanti di solito affermano che contiene alcune informazioni importanti, come un’offerta commerciale. Questo schema rende questi messaggi più difficili da individuare e aumenta le probabilità che il destinatario cada nella trappola.

Testo estratto dall’articolo pubblicato su www.bitmat.it

L’80% delle aziende italiane si sente esposto ad attacchi ransomware, di phishing e in ambito IoT

Tratto da www.trendmicro.com

Autore: Lorenzo Gamba – Imageware Srl – 31/08/2022

Nuovo studio Trend Micro rivela che molte organizzazioni sono in difficoltà a causa di approcci manuali nella mappatura della superficie di attacco

Il 31% delle aziende italiane afferma che la valutazione del rischio è la principale attività nella gestione della superficie di attacco ma il 54% ritiene che i propri metodi di valutazione del rischio non siano abbastanza sofisticati. Di conseguenza, circa l’80% si sente esposto ad attacchi ransomware, di phishing e alle infrastrutture IoT.

Il dato emerge da “MAPPING THE DIGITAL ATTACK SURFACE: Why global organisations are struggling to manage cyber risk”, l’ultima ricerca Trend Micro, leader globale di cybersecurity.

Lo studio afferma anche che le organizzazioni sono in difficoltà a causa di approcci manuali nella mappatura della superficie di attacco (37%) e per il fatto di lavorare con più stack tecnologici (26%).

La difficoltà delle organizzazioni nel valutare accuratamente il rischio della superficie di attacco crea confusione anche tra il management. Il 36% dei responsabili di security fatica a quantificare l’esposizione al rischio ai responsabili aziendali e solo l’1% ritiene che quest’ultimi comprendano appieno i rischi informatici. In questo contesto, le organizzazioni hanno l’opportunità di avvalersi dell’esperienza di terze parti.

“Eravamo già a conoscenza del fatto che le organizzazioni fossero preoccupate circa la superficie di attacco digitale in rapida espansione e con una visibilità limitata”. Ha affermato Alessandro Fontana, Head of Sales di Trend Micro Italia. “Ora sappiamo anche che hanno bisogno di un aiuto urgente per analizzare e gestire il rischio informatico. In molti casi, la sfida è resa più difficile da soluzioni organizzate in silos. Le aziende dovrebbero utilizzare un’unica piattaforma che dia loro la certezza e la sicurezza di cui hanno bisogno, una piattaforma che sia in grado di integrare diverse soluzioni in un unico progetto di security”.

Il 42% del campione ha già investito in un approccio basato su piattaforma per la gestione della superficie di attacco, mentre la metà (50%) afferma che vorrebbe fare lo stesso. Tra i vantaggi citati dalle aziende che utilizzano una piattaforma unificata per la gestione della security, al primo posto una visibilità migliorata (36%), seguita da una riduzione dei costi e da una risposta più veloce alle violazioni (31%).

Da ultimo, tra le azioni più difficili da dettagliare accuratamente in base alla valutazione del rischio, il 40% del campione segnala:

Livelli di rischio per i singoli asset
Frequenza dei tentativi di attacco
Andamento dei tentativi di attacco
Impatto di una violazione su un’area particolare
Benchmark di settore
Piani di azione preventiva per vulnerabilità specifiche

Metodologia e campione della ricerca

La ricerca, commissionata da Trend Micro e condotta da Sapio Research, ha coinvolto 6.297 IT e business decision maker in 29 Paesi in tutto il mondo. In Italia il campione è stato di 202 professionisti.

Ulteriori informazioni sono disponibili a questo link
Lo studio “MAPPING THE DIGITAL ATTACK SURFACE: Why global organisations are struggling to manage cyber risk” è disponibile a questo link

Pagamento dei ransomware: è opportuno? I pareri degli analisti di Gartner

Tratto da www.zerounoweb.it

Autore: Marta Abbà – Fonte TechTarget – 09/11/2021

Durante l’IT Symposium di Gartner, gli analisti hanno discusso le complessità che le aziende devono affrontare nel decidere se cedere o meno alle richieste di riscatto

Se per una qualsiasi organizzazione essere colpiti da un ransomware può considerarsi quasi un evento inevitabile o molto probabile, secondo gli analisti di Gartner, il cedere invece alle richieste di riscatto è una decisione che resta nelle mani delle vittime.

Durante il Gartner IT Symposium 2021 – Americas , gli analisti di Gartner Paul Proctor e Sam Olyaei hanno discusso la gravità del panorama ransomware in una sessione dal titolo “Crossroads: Dovresti pagare il riscatto?” esprimendosi in linea di massima contro il pagamento del ransomware ma illustrando una serie di considerazioni che le imprese possono fare per valutare come muoversi, ad esempio relative alla portata dell’attacco, agli importi delle richieste di riscatto, alla propria copertura assicurativa informatica e allo stato dei backup.

Un altro elemento che rende difficile la decisione è il disallineamento tra il team di sicurezza e il management, secondo gli analisti, ma la vera pressione sulle organizzazioni proviene dall’evoluzione dei ransomware che oggi hanno ormai un vero e proprio modello di business. Al loro interno sono previsti dei soggetti che “inseguono” insistentemente le aziende e degli operatori che, dietro agli autori del ransomware, agiscono ora come professionisti, offrendo un servizio clienti e negoziatori.

Secondo Proctor, gli autori delle minacce analizzano le aziende a 360 gradi e calibrano la loro richiesta sulle entrate della singola organizzazione o sul suo budget annuale. La maggior parte degli hacker conoscono anche i termini della sua polizza di assicurazione informatica.

Proctor ha illustrato un caso recente in cui un attaccante ha avuto accesso alla policy scoprendo esattamente quanto la vittima avrebbe pagato in caso di riscatto, anche le stesse compagnie di assicurazione informatica quindi non sono al sicuro. A marzo, CNA Financial, uno delle più grandi assicurazioni statunitensi, ha subito un attacco ransomware e, secondo un rapporto di Bloomberg, la compagnia di assicurazioni ha pagato un riscatto di 40 milioni di dollari.

Dato che le aziende stanno diventando sempre più vulnerabili agli attacchi ransomware, Proctor ha suggerito di cominciare a focalizzarsi sulla cyber readiness invece che sulle minacce. “Soprattutto, quando si tratta di ransomware, come avete intenzione di rispondere? – ha detto Proctor durante la sessione – È necessario iniziare a guardare a questo attacco informatico come a qualcosa di inevitabile”.

Olyaei ha convenuto che il ransomware non è un rischio potenziale, ma una minaccia che le aziende non possono controllare: “verrete sicuramente colpite, ciò che bisogna chiedersi è: qual sarà l‘impatto sull’azienda?” ha detto durante la sessione.

Pagare? Non pagare? Questo è il dilemma

Mentre la maggior parte dell’incontro si è focalizzato sugli elementi da prendere in considerazione quando si è colpiti dal ransomware, la questione del se pagare o meno è stata posta dall’autore e moderatore dell’evento Mark Jeffries. Jeffries ha menzionato una conversazione che ha avuto con un ex leader della CIA che era a favore del pagamento dei riscatti, Proctor non si è detto d’accordo con questa posizione spiegando che “Gartner ha una posizione opposta, è illegale in molte giurisdizioni e ci sono nuove leggi che lo rendono illegale”.

Il dibattito sul cedere o meno ai ricatti cyber negli USA ha provocato molte discussioni con l’aumento degli attacchi ransomware e, nonostante la Casa Bianca abbia preso una posizione forte contro il pagamento, sono molte le aziende che hanno deciso di pagare comunque nell’ultimo anno, lo hanno fatto anche JBS USA, ExaGrid e Colonial Pipeline Company.

Questo sta accadendo nonostante le misure barriera inserite per scoraggiare il pagamento, comprese le recenti sanzioni che possono mettere in difficoltà le aziende che favoriscono i pagamenti dei ransomware. Per esempio, il mese scorso l’Office of Foreign Assets Control ha emesso sanzioni contro Suex, uno crypto exchange accusato di riciclare i proventi illeciti dei criminali informatici, alcuni dei quali derivati dal ransomware. Ora, pagare riscatti potrebbe portare a una violazione di quelle sanzioni.

Al di là di ciò che prevedono le nuove leggi, Proctor ha sostenuto che chi paga viene spesso hackerato di nuovo, secondo i dati di Gartner, infatti, l’80% di queste organizzazioni subisce un altro attacco ransomware.

“Pagando il riscatto agli hacker li si invita a effettuare una nuova violazione, e chi pensa che pagherà un’assicurazione informatica o che potrà mettere da parte dei soldi apposta per il riscatto per poi proseguire con il business come nulla fosse, si sbaglia perché si troverà a pagare le conseguenze della sua scelta”. Sottolineando le ripercussioni del pagamento, Proctor ha però indicato un caso in cui ritiene sia opportuno cedere alle richieste: quando una società non può in alcun modo recuperare i dati. “Se non hai un backup e non vuoi ricostruire tutti i tuoi dati da zero, a partire dal primo giorno, dovrai pagare – ha spiegato – Non hai altra scelta”.

Olyaei non ha invece preso una posizione chiara nel dibattito ma ha spiegato ciò che pagare o non pagare potrebbe significare per un’organizzazione. “Non stiamo raccomandando o suggerendo a un’organizzazione di pagare o meno” ha precisato.

Per quanto riguarda il tema del backup dei dati, Olyaei citato una ricerca di Gartner che mostra come chi paga riceva solo fino all’8% dei loro dati indietro e ha aggiunto poi che la situazione va peggiorando perché alcune delle più recenti varianti di ransomware restano in un sistema per mesi, al punto da riuscire a criptare i backup. A quel punto, ha spiegato, “non sarete mai più in grado di recuperare fino al 100% dei vostri dati”.

Mentre durante il secondo trimestre del 2021, complice il Ransomware-as-a-Service e la consapevolezza delle aziende che pagare il riscatto non dà alcuna garanzia, gli importi incassati dagli hacker sono calati del 40% (dati Coverware), anche nel contesto italiano si dibatte sul tema del pagamento del riscatto. L’Asso DPO (Associazione Data Protection Officer) illustra ad esempio come nonostante per la polizia postale, il nucleo privacy della guardia di finanza, i professionisti che si occupano di privacy e di sicurezza informatica, la risposta sarebbe un NO unanime, la realtà presenti delle sfumature più complesse e da interpretare. Spesso ciò che accade è che, non riuscendo a conoscere le esatte dimensioni di un attacco, molte aziende cercano di coprire l’accaduto per minimizzare i danni anche di brand reputation decidendo di cedere al ricatto e pagare senza pubblicizzare questa scelta. Diversa la situazione quando si fornisce un servizio pubblico oppure quando l’azienda ha dimensioni rilevanti, come nei recenti casi di Colonial Pipeline e JBS: in questi casi bisogna fornire spiegazioni anche agli investitori e prendere delle decisioni non è semplice.

L’impatto del ransomware oltre la crittografia

L’impatto della maggior parte degli attacchi di cyber, ha detto Olyaei, deriva dalla mancata risposta delle aziende, sia dal punto di vista tecnologico che di gestione delle pubbliche relazioni, e riguarda la brand reputation e la credibilità agli occhi del cliente. Tuttavia, le ricadute degli attacchi, in particolare se colpiscono infrastrutture critiche, possono porre anche altri problemi, indipendentemente dalla risposta. Secondo Proctor, ad esempio, è stato il panico del gas sulla costa orientale a danneggiare la U.S. Colonial Pipeline più che la sua risposta all’attacco ransomware, che ha incluso il pagamento di una richiesta di 4,4 milioni di dollari.

Un aspetto su cui entrambi gli analisti hanno concordato è il disallineamento tra i management e la loro scarsa comprensione degli incidenti di sicurezza che Proctor ha rilevato negli ultimi 35 anni. “Abbiamo letteralmente trattato la sicurezza come una magia e gli addetti alla sicurezza come maghi. E questo significa che diamo ai maghi un po’ di soldi e loro lanciano alcuni incantesimi e così proteggono infallibilmente l’organizzazione. E poi, se qualcosa va storto, diamo la colpa ai maghi – ha detto Proctor – questo ha portato ad investire in modo poco appropriato ed efficace”.

Questo disallineamento impatta sui livelli di preparazione dell’azienda. Una statistica di Gartner mostra che l’80% dei responsabili della sicurezza crede di essere pronto a rispondere a un attacco ransomware, mentre il numero dei manager è del 13%. Secondo Olyaei si tratta di una disconnessione culturale. Un altro elemento su cui entrambi gli analisti si trovano d’accordo è il fatto che gli attacchi ransomware sarebbero prevenibili, ciò che manca sono i protocolli di sicurezza, paragonabili alle norme di igiene di base: indispensabili. Continuando la metafora ha affermato che “è come se stessimo lasciando le nostre porte e le nostre finestre aperte, spalancate, come se non ci lavassimo i denti e non andassimo a dormire all’ora giusta la sera. Queste sono le ragioni di base per cui veniamo colpiti dal ransomware”. La percentuale di attacchi prevenibili è il 90% e, secondo Proctor se l’investimento in adeguati controlli di cybersecurity è adeguato la decisione se pagare o meno il riscatto non si pone: “Se stai affrontando questa decisione, hai già perso”.