Ursnif sbarca su Android: le campagne che lo distribuiscono veicolano ora un APK che infetta Android con un RAT, DroidJack.
Ursnif e le campagne a tema Agenzia delle Entrate
Ormai ne parliamo da giorni, gli alert del CERT (e non solo) si susseguono. Ursnif e il suoi gestori stanno martellando l’Italia di campagne di attacco. Campagne che mutano e differiscono in qualche particolare, ma che in comune hanno l’infrastruttura che li sostiene e il tema: Agenzia delle Entrate appunto.
“Come già anticipato dal CERT-AgID nelle scorse settimane, l’Italia è stata interessata da una importante campagna volta a distribuire il malware Ursnif. Dall’inizio del mese di marzo ad oggi sono state osservate almeno quattro campagne, che hanno avuto come temi Agenzia delle Entrate e MISE/MEF e che si sono distinte per il loro considerevole volume”
L’ennesimo alert del CERT su Ursnif e i suoi gestori è di ieri, Lunedì 27 Marzo. Di nuovo il CERT ha individuato una campagna di spam che sfrutta il tema Agenzia delle Entrate per ingannare gli utenti.
Fonte: https://cert-agid.gov.it
L’email sopra ricalca una delle classiche campagne che emulano comunicazioni dell’Agenzia delle Entrate. A tutti gli effetti sembra una campagna di distribuzione di Ursnif, ma c’è una novità.
Gli autori di #Ursnif approdano nel mondo mobile: #DroidJack APK veicolato come comunicazione Agenzia delle Entrate
Il link contenuto in corpo messaggio, in questo caso, non scarica alcun file a meno che il visitatore non lo visiti con un dispositivo Android. In questo caso il link conduce al download di un file in formato APK, chiamato Agenzia.apk. Insomma, la campagna Ursnif non distribuisce Ursnif ma un altro malware.
In dettaglio il malware risulta essere DroidJack, un Malware as Service venduto al costo di 210 dollari. Malware che, nello specifico, è un RAT che consente di ottenere il completo controllo, da remoto, del dispositivo compromesso. Così gli attaccanti possono monitorare il traffico dati, intercettare conversazioni e OTP ecc…
DroidJack il MaaS per Android
DoridJack è un malware per Android rivenduto come Malware As A service sia nel dark web che nel web emerso. E’ in circolazione da molti anni ed è sempre stato una minaccia di un certo rilievo. Al punto che, nel 2015,una task force dell’Europol e Eurojust tentò di sgominare il gruppo gestore.
Come si presentava DroidJack nel 2015
Venendo ai tempi odierni, il CERT ha analizzato in dettaglio il funzionamento di questa campagna.
Subito dopo l’installazione, DroidJack registra il dispositivo compromesso. Per farlo comunica al server C&C marca e modello del dispositivo, numero di telefono, versione di Android.
Fonte: https://cert-agid.gov.it
Quindi inizia la raccolta di informazioni, che vengono salvate su un database SQLite (SandroRat nell’immagine sotto)
Fonte: https://cert-agid.gov.it
Oltre ad intercettare il traffico, DroidJack può acquisire SMS, video e registrare le chiamate effettuate. I dati raccolti sono criptati con algoritmo AES e inviati ad un server C&C localizzato in Russia.
Venendo al codice del malware, non ci sonoi grandi differenze rispetto alla versione che fu individuata in circolazione nel 2016. Probabilmente quella analizzata è proprio la vecchia versione, alla quale sono stati modificati gli indirizzi dei server C&C.
Che c’entra Ursnif quindi?
La campagna analizzata non distribuisce una versione di Ursnif per Android. Quindi che c’entra Ursnif? L’analisi del CERT ha permesso di estrarre le URL dei server di smistamento. Sono oltre 700 e molte di queste già erano correlate alla campagna Ursnif del 14 Marzo 2023. Non finisce qui:
l’infrastruttura che distribuisce il file APK dannoso è la stessa di precedenti campagne Urnsif.
In precedenza non sono mai state registrate campagne di distribuzione Ursnif verso utenti Android. E’ la prima volta che il gruppo dietro le campagne Urnsif mirate contro utenti italiani si rivolge ad Android. La telemetria d’altronde non lascia dubbi: il 30% delle potenziali vittime delle precedenti campagne di distribuzione Ursnif possiede Android.
E’ lecito pensare, o quantomeno è verosimile, che il gruppo che gestisce Urnsif abbia scelto DroidJack per ampliare i target della propria attività dannosa. Affiancando a Windows i target Android.
Guide utili per rimanere al sicuro da attacchi malware e phishing
Quali malware girano nel panorama italiano? Quali campagne di attacco? Nei report settimanali del CERT-AgID tutte le informazioni utili: perché la prevenzione passa dalla consapevolezza.
I malware della settimana 18 – 24 Marzo
La scorsa settimana il CERT-AgID ha individuato e contrastato 26 campagne dannose, delle quali 24 mirate contro obiettivi italiani e 2 generiche ma veicolate anche nel cyber spazio italiano. Le famiglie malware individuate in diffusione sono state 6. Ecco il dettaglio:
Ursnif è stato in diffusione con quattro massive campagne di spam a tema Agenzia delle Entrate e Delivery. Ognuna delle quattro campagne ha visto l’uso di tecniche differenti. Per approfondire > Ursnif: il trojan bancario più diffuso in Italia;
Remcos è stato in diffusione con una campagna mirata a tema Banking. Le email veicolavano allegati ISO.
Mekotio è stato diffuso con una campagna mirata a tema Pagamenti. Le email veicolavano allegati ZIP contenenti, a loro volta, file MSI.
Remcos RAT in breve: Remcos è un software commerciale molto usato, scritto in C++. E’ uno strumento legittimo, usato molto spesso per fornire supporto remoto o in corso di penetration testing. E’ molto usato dai cyber attaccanti a mò di RAT, remote access trojan.
Le campagne di phishing e i temi della settimana 18 – 24 Marzo
Il CERT ha individuato e analizzato 13 campagne di phishing contro utenti italiani. I brand coinvolti sono stati ben 9. I dati mostrano:
una crescita delle campagne mirate al furto dati dei clienti Aruba;
l’ennesima campagna che ha sfruttato INPS per rubare documenti di identità di cittadini italiani.
Tra i brand più sfruttati Aruba, appunto, ma anche BNL e Poste Italiane.
Fonte: https://cert-agid.gov.it/
I temi sfruttati nelle campagne di phishing sono stati 10, in particolare il CERT indica:
Banking: è il tema principale per le campagne di phishing e smishing volte al furto di credenziali bancarie e documenti. In particolare il tema banking è usato per distribuire Remcos e Formbook;
Avvisi di sicurezzaè il tema usato per le campagne di phsihing mirate al furto delle credenziali di account webmail;
Agenzia delle Entrate si conferma il tema preferito per veicolare Ursnif.
Fonte: https://cert-agid.gov.it/
Tipologia di file di attacco e vettore
Tra i file vettore per distribuire malware questa settimana il formato archivio ZIP si conferma il più utilizzato, seguito dai formati URL e JS.
Fonte: https://cert-agid.gov.it
Guide utili per rimanere al sicuro da attacchi malware e phishing
Ursnif malware è ormai una presenza fissa nel nostro paese. Il CERT ha reso pubblicato un report completo del fenomeno: dati tecnici e numeri.
Ursnif malware: le campagne delle scorse settimane
Come già indicato in precedenti articoli, il CERT ha individuato una campagna massiva di distribuzione del malware Ursnif. Campagna di distribuzione mirata contro il nostro paese. Dall’inizio di Marzo il CERT ha osservato e contrastato quattro diverse campagne che hanno sfruttati temi con Agenzia delle Entrate e MISE/MEF.
Fonte: https://cert-agid.gov.it
Queste campagne hanno catturato l’attenzione dei ricercatori per il loro volume, ma anche per il numero di indicatori di compromissione individuati, più di 1200.
Urnsif in breve:
Urnsif, conosciuto anche come Gozi, è tra i malware bancari più diffusi al mondo. Nonché tra i più longevi: le prime segnalazioni della sua “bozza primordiale” risalgono addirittura al 2007. Il suo codice sorgente è trapelato online nel 2015. Poco dopo è diventato pubblicamente disponibile su Github. In poco tempo nuovi autori malware hanno lavorato su quel codice, aggiungendo molteplici funzionalità.
Le funzionalità di cui è capace, la complessità del codice hanno portato gli addetti ai lavori, nel tempo, a non classificarlo più come mero trojan bancario ma come minaccia avanzata e persistente. Da qualche anno ha scelto l’Italia come campo di battaglia.
Nel solo 2021 ha colpito preso di mira i clienti di oltre 100 istituti bancari italiani. In quell’anno ha rubato oltre 1700 credenziali relative ad un solo elaboratore di pagamenti. Altre informazioni dettagliate sulla sua diffusione sono disponibili, con cadenza praticamente settimanale, nei bollettini del CERT-AGid. Il nostro paese infatti è riguardato da più campagne di diffusione a cadenza ormai settimanale.
Ursnif viene diffuso in molteplici modi. La tecnica più utilizzata prevede l’uso di un link dinamico di Firebase, solitamente inserito in corpo testo dell’email vettore. Questo link reindirizza la vittima verso una pagina di smistamento. Queste pagine sono solitamente ospitate su server compromessi e hanno lo scopo di indirizzare, infine, l’utente a scaricare un file ZIP. Questo archivio contiene il payload del malware, in dettaglio un collegamento ad un eseguibile su un servizio di sharing pubblico.
Fonte: https://cert-agid.gov.it
Proprio nel corso delle attività di contrasto delle campagne di Ursnif gli esperti del CERT hanno potuto recuperare una serie di dati utili sulle attività di questo malware. Sono riusciti, infatti, a recuperare una serie di informazioni “abbandonate” nelle pagine di smistamento. A partire dal fatto che le pagine di smistamento sono tutte su un unico server di backend.
Diamo i numeri: il fenomeno Ursnif malware
Tra le informazioni recuperate, gli esperti del CERT hanno trovato indirizzo IP, user agent, data, ora, geolocalizzazione e classificazione dei dispositivi che hanno navigato sulla pagina di smistamento.
“Queste visite non corrispondono esattamente al numero di infezioni avvenute poichè un certo numero di vittime si ferma prima di aprire l’archivio ZIP e anche perchè una percentuale di visite proviene dai motori di ricerca e da strumenti automatici. Tuttavia osserveremo come vi sia un’evidente correlazione tra i picchi di visite ed i giorni in cui sono avvenute le campagne. Quanto di seguito riportato riguardano numeri relativi alle “visite” e non alle “infezioni”.
si legge nel report.
Emerge quindi che, al momento della scrittura del report (pubblicato il 16 Marzo 2023) le visite alle pagine di smistamento erano quasi 380.000. Ora, il backend usato per indirizzare le vittime al download del payload possono rilevare se la vitista proviene o meno da uno strumento automatico (come un motore di ricerca). Di 380.000 visite, solo 40.000 sono provenienti da strumenti automatici.
A livello giornaliero, le visite risultano così distribuite:
Fonte: https://cert-agid.gov.it
I picchi che si notano nel grafico corrispondono ai giorni in cui sono iniziate le quattro campagne di distribuzione di Ursnif.
Un altro dato interessante è che, nonostante la campagna sia mirata contro l’Italia, poco più della metà delle visite è italiana. L’altra metà è in lingua inglese, ma le visite risultano localizzate in specifici punti geografici più che mostrare una distribuzione più o meno uniforme in paesi angolofoni, come invece potremmo aspettarci. Ne discende che, probabilmente, tali visite sono state generate da strumenti automatici (come le sandbox).
La maggior parte delle visite proviene da dispositivi Windows, mentre per i dispositivi mobile la fa da padrone Android. macOS e Linux i meno utilizzati.
Visite per provenienza indirizzo IP Ecco sotto ricostruite sulla mappa le posizioni degli indirizzi IP che hanno visitato le pagine di smistamento
Fonte: https://cert-agid.gov.it
“È interessante osservare come le visite provenienti dagli Stati Uniti siano localizzate in punti specifici mentre quelle in Italia siano diffuse su tutto il territorio. Questo a conferma del fatto che le campagne sono state mirate principalmente per l’Italia”
Pagamenti ransomware: come funzionano? Quali caratteristiche differenziano i vari gruppi le loro modalità di estorsione? Una ricostruzione con la lente della Data Science.
Applicare la data science al mondo dei ransomware
Trendmicro ha pubblicato un report molto interessante che tratta la questione ransomware da un punto di vista piuttosto originale. In una ricerca congiunta con Waratah Analytics, intitolata “What Decision-Makers Need to Know About Ransomware Risk“, gli esperti di Trend Micro hanno applicato la data science allo studio delle modalità e del fenomeno di pagamento dei ransomware.
Il punto, spiegano i ricercatori, è che i costi operativi e i modelli tramite cui i gruppi monetizzano gli attacchi ransomware possono rivelare molti dettagli. Analizzando dati di questo tipo infatti è possibile ricostruire tecniche di attacco, procedure, i metodi di persistenza ma anche le qualifiche dei vari membri. Inutile dire quanto un simile modello di analisi riesca a produrre (almeno potenzialmente) una serie di informazioni estremamente utili per difendersi. E se le risultanze di tali analisi finiscono integrate direttamente nelle strategie di difesa, diviene possibile (ripetiamo, almeno potenzialmente) difendersi anche da minacce sempre più sofisticate come i ransomware.
I gruppi ransomware profilano le vittime e calcolano l’ammontare del riscatto
Nel report gli scienziati tratteggiano, per cominciare, le modalità con cui viene calcolato il potenziale riscatto da richiedere alle vittime. Va detto che sono molteplici i fattori tenuti in considerazione per stabilire l’ammontare del riscatto da richiedere in fase iniziale e quanto richiedere invece in corso di negoziazione, fino a stabilire un minimo sotto il quale la negoziazione viene fatta saltare. Un dato è piuttosto ovvio: il fatturato.
I leak delle chat interne del gruppo ransomware Conti hanno permesso di ricostruire che il gruppo profilava le vittime e manteneva aggiornato il loro stato finanziario utilizzando le informazioni commerciali pubblicamente disponibili online. Non a caso il gruppo Conti aveva il suo dipartimento OSINT interno, un team deputato solo alla raccolta dati, alla profilazione e all’aggiornamento dello stato delle vittime.
La profilazione viene poi aggiornata in seguito all’attacco. Come si sa ormai, i gruppi ransomware precedono la fase di criptazione dei dati con quella dell’esfiltrazione. I dati vengono prima trasferiti verso altri storage controllati dagli attaccanti mentre le copie che restano sui sistemi colpiti vengono criptate. Questi dati sono una miniera di informazioni per gli attaccanti. Nel report di Trendmicro, ad esempio, è riportato come tali dati influiscano direttamente sulla trattativa tra vittima e attaccanti. Pensate ad un’azienda che, sotto ricatto, dichiara di non avere modo di pagare quanto richiesto dagli attaccanti. Immaginate ora che gli attaccanti abbiano nella propria disponibilità informazioni sufficienti sulla liquidità dell’azienda, sui contratti e altri dati finanziari rubati dalle vittime stesse, per poter stabilire se l’azienda stia mentendo o meno. E’ facile immaginare che gli aggressori decidano di vendicarsi pubblicando i dati della vittima o aumentando l’ammontare del riscatto.
Il modello di business scelto determina i costi operativi del ransomware
Ovviamente i gruppi ransomware hanno dei costi operativi da coprire, se vogliono ottenere un profitto e rendere effettivo il proprio modello di business. Alcuni gruppi richiedono un riscatto di ammontare fisso, uguale per tutte le vittime. Altri invece differenziano l’ammontare secondo il profilo dettagliato della vittima. Sapere come operano gli attaccanti e l’entità del riscatto può aiutare i team di sicurezza a distinguere le campagne ransomware mirate da quelle non mirate su uno specifico obiettivo. Distinzione assai importante dal momento che per evitare attacchi mirati saranno richieste specifiche strategie di difesa.
I costi operativi comunque, osservano i ricercatori, dipendono in larga parte dal modello di business scelto dagli attaccanti stessi. Se l’entità del riscatto è negoziabile, è probabile pensare che i costi sostenuti dagli attaccanti per progettare un attacco mirato saranno usati per stabilire una fascia minima, una cifra minima sotto il quale non si potrà scendere a patti.
Per i gruppi ransomware che adattano il riscatto alla dimensione della vittima, i ricercatori hanno osservato che il riscatto richiesto varia molto. A titolo esemplificativo citano il Ransomware as a Service Cerber
Fonte: Trendmicro
Dall’altro lato c’è DeadBolt, un gruppo ransomware che si concentra più sul numero di attacchi che su attacchi mirati. L’entità del riscatto, in questo caso, mostra poche variazioni
Fonte: Trendmicro
Gruppi come Cerber, insomma, impostano l’ammontare iniziale del riscatto e la soglia minima da imporre durante la trattativa basandola sulla singola vittima. Questo dipende dal fatto che un attacco mirato può richiedere personale e infrastrutture aggiuntivi, aumentano i costi da sostenere.
Pagamenti Ransomware: chi paga, paga molto velocemente
Uno dei casi studio presi in esame in questa ricerca ha mostrato un dettaglio molto importante. Più della metà delle vittime del ransomware DeadBolt ha ceduto alle richieste degli attaccanti entro 20 giorni, il 75% entro 40 giorni.
Fonte: Trendmicro
Anche il tempo di ripristino è quindi un fattore importante per le vittime, soprattutto di livello aziendale. E’ importante notare che è praticamente quasi scontato che il riscatto sarà pagato celermente in quei casi in cui vengono compromessi sistemi critici. Soprattutto se da questi sistemi dipendono direttamente gli introiti aziendali.
“Dando uno sguardo alla velocità con cui sono pagati i riscatti nei casi ransomware, la nostra ricerca dimostra che la criptazione dei dati in un cyber attacco avviene non molto tempo prima che queste transazioni siano rilevate nella blockchain. Questo tipo di dati può rivelarsi utile per i difensori quando correlano il pagamento del riscatto ai sample del ransomware o ai data breach”
si legge nel report.
Per concludere: l’importanza della Data Science e dell’analisi di varie fonti di dati
Insomma, analizzare varie fonti di dati, sfruttare i vantaggi della Data Science può fruttare importanti informazioni molto utili ai professionisti della sicurezza informatica. Ad esempio permette di ricostruire come opera un determinato gruppo e quale modello di business ha adottato.
“I nostri suggeriscono che i gruppi ransomware la cui strategia di monetizzazione prevede l’organizzazione di attacchi mirati hanno competenze, approcci, skill e capacità di attacco molto simili a quelli osservati per i gruppi APT (Advanced Persistent Threat). Per i team di sicurezza, il contrasto a questa tipologia di gruppi ransomware richiede risorse paragonabili a quelle di cui avrebbero bisogno in caso di attacchi portati da gruppo state-sponsored oppure in caso di un penetration test di portata essenzialmente illimitata”
Quali malware girano nel panorama italiano? Quali campagne di attacco? Nei report settimanali del CERT-AgID tutte le informazioni utili: perché la prevenzione passa dalla consapevolezza.
I malware della settimana 04 – 10 Marzo
La scorsa settimana il CERT-AgID ha individuato e analizzato 18 campagne dannose. 16 hanno mirato direttamente obiettivi italiani, le altre sono state generiche ma veicolate anche nel cyber spazio italiano.
Le famiglie malware individuate in diffusione sono state 4, diffuse con 10 diverse campagne. In dettaglio:
Ursnif è stato diffuso con 4 diverse campagne a tema Agenzia delle Entrate e MEF/MISE. Le email vettore hanno assunto diverse forme. Alcune contengono in corpo messaggio un link che porta al download di file ZIP contenenti, a loro volta, un file URL. Altre invece veicolano allegati XLS dannosi. Qui un report dettagliato del CERT sulle attività di Ursnif in Italia.
AgentTesla è stato distribuito con 3 diverse campagne, una generica a tema Pagamenti e due mirate contro utenti italiani a tema Ordine e Preventivo. Le email veicolavano allegati LZH, GZ con VBS e 7Z. Per approfondire >Anatomia di AgentTesla, lo spyware più diffuso in Italia;
Emotet torna in diffusione dopo 4 mesi con due campagne massive a tema resend. Le email veicolano allegati ZIP contenenti, a loro volta, file DOC armati di macro dannosa. Rimandiamo, sul tema, a questa apposita news, oppure al più esteso report pubblicato dal CERT.
Remcos è stato diffuso con una campagna generica a tema Hotel. Le email veicolavano allegati RAR.
Fonte: https://cert-agid.gov.it
Remcos RAT in breve: Remcos è un software commerciale molto usato, scritto in C++. E’ uno strumento legittimo, usato molto spesso per fornire supporto remoto o in corso di penetration testing. E’ però molto usato anche dai cyber attaccanti a mò di RAT, remote access trojan: insomma è usato per controllare da remoto un sistema bersaglio ed eseguire attività di elusione delle soluzioni antivirus, raccolta credenziali e informazioni di sistema, esecuzione di script e screenshot, ma anche come keylogger.
Le campagne di phishing e i temi della settimana 04 – 10 Marzo
Le campagne di phishing individuate e analizzate sono state 8 ed hanno sfruttato 6 diversi brand. Di nuovo INPS è il soggetto più sfruttato, in particolare per raccogliere documenti di identità. Tra i brand più colpiti seguono poi Poste Italiane, Aruba e Zimbra. Solo in fondo alla “classifica” si notano i primi istituti Bancari: Unicredit e Intesa San Paolo.
Fonte: https://cert-agid.gov.it
Queste campagne dannose hanno sfruttato 12 diversi temi per ingannare gli utenti. I principali sono stati:
Banking, ovviamente. Il tema è usato sia per campagne di phishing sia per campagne di smishing rivolte a clienti di istituti bancari italiani. Anche la campagna INPS ha sfruttato questo tema.
Agenzia delle Entrate è utilizzato, nello specifico, per veicolare Ursnif.
Resend è stato sfruttato per veicolare Emotet.
Fonte: https://cert-agid.gov.it
Guide utili per rimanere al sicuro da attacchi malware e phishing
Medusa Ransomware è in diffusione dal 2021, ma ha mostrato una scarsa attività. Fino al 2023: da Gennaio colpisce attivamente aziende in tutto il mondoe si è dotato di un data leak site per le estorsioni.
Medusa Ransomware: breve cronistoria
Le operazioni ransomware di Medusa sono iniziate nel Giugno 2021. Non hanno destato però particolare preoccupazione nei ricercatori di sicurezza, dato che ha mostrato scarsa attività e ha mietuto poche vittime. Dall’inizio del 2023 però il gruppo ransomware ha aumentato notevolmente la propria attività e ha lanciato “Medusa Blog”, il leak site per pubblicare i dati esfiltrati dalle reti delle vittime recalcitranti a pagare. Lo scorso mese il gruppo è balzato agli onori delle cronache per l’attacco contro il distretto Minneapoli Public Schools.
L’attacco ransomware contro le scuole pubbliche di Minneapolis
Come detto, Medusa Ransomware ha fatto il giro dei media mondiali in seguito all’attacco contro il distretto Minneapolis Public Schools (MPS). Il gruppo ha richiesto 1 milione di dollari statunitensi di riscatto, confermando di aver esfiltrato i dati prima di procedere alla criptazione. 50.000 dollari invece il costo per estendere di un giorno il countdown.
La nota di riscatto di MPS. Fonte: Bleeping Computer
Dettaglio curioso: il threat analyst Brett Callow, di Emsisoft, ha rintracciato su Vimeo un video pubblicato dagli attaccanti. Il video mostra i dati rubati: è una tecnica del tutto inusuale e mai vista prima per fornire la prova dell’accesso alla rete bersaglio.
Medusa Ransomware: estensione di criptazione, nota di riscatto, leak site
Senza pretesa di completezza, diamo uno sguardo sotto la superficie. Per cominciare, le informazioni di base: questa infezione è riconoscibile dall’estensione di criptazione che aggiunge ai file criptati, .MEDUSA.
Fonte: Bleeping Computer
La nota di riscatto viene creata in ogni cartella contenente datio criptati. E’ in formato testuale e il file si chiama !!!READ_ME_MEDUSA!!!.txt. Contiene le informazioni di contatto: un indirizzo Protonmail, un canale Telegram, il leak site su Tor ecc…
Fonte: Bleeping Computer
Il leak site, come detto, è piuttosto recente. Ovviamente è accessibile solo tramite Tor: si chiama medusa Blog.
Fonte: Red Hot Cyber
Qualche info tecnica
Non è chiaro se Medusa Ransomware sia in grado di criptare anche sistemi Linux. L’encryptor per Windows è già stato analizzato da più ricercatori. Accetta le righe di comando elencate sotto così da consentire all’attaccante di configurare le modalità con le quali saranno criptati i file sulla rete bersaglio.
Command Line
Option | Description
-V | Get version
-d | Do not delete self
-f | Exclude system folder
-i | In path
-k | Key file path
-n | Use network
-p | Do not preprocess (preprocess = kill services and shadow copies)
-s | Exclude system drive
-t | Note file path
-v | Show console window
-w | Initial run powershell path (powershell -executionpolicy bypass -File %s)
Il comando V, per esempio, mostra una console con una serie di messaggi di stato. Sotto una schermata di questa console Windows: si può vedere come il ransomware tenti di arrestare le soluzioni di sicurezza
Fonte: Michael Gillespie
Se non riceve comandi specifici, il ransomware Medusa sospende oltre 280 servizi e processi Windows. Tra questi, mail server, server database, server di backup, software e servizi di sicurezza… tutto quanto potrebbe impedire o ostacolare la routine di criptazione. Non solo: Medusa fa di tutto per impedire il ripristino dei file. Ha funzionalità per cancellare i file in locale associati ai programmi di backup. come Windows Backup. Per farlo usa il comando che si vede sotto, capace anche di cancellare i VHD.
L’esperto di ransomware Michael Gillespie ha anche verificato che l’encryptor sfrutta gli algoritmi di criptazione AES256 e la RSA2048 usando la libreria BCrypt.
Purtroppo al momento non ci sono metodi conosciuti per recuperare i file.
Proteggersi dai ransomware: step basilari
Premettendo che la sicurezza informatica al 100% non esiste e che gli strumenti, le soluzioni e la postura difensiva variano da azienda ad azienda, da rete a rete, i punti sottostanti sono il minimo indispensabile per raggiungere un livello accettabile di sicurezza informatica.
Predisponi un piano di backup: è fondamentale dotarsi di soluzioni di backup e di organizzarsi per eseguire backup di tutti i dati a cadenza regolare. I backup stessi andranno testati regolarmente, per verificare che i dati siano integri. Disporre di backup integri e il più recenti possibile consente di minimizzare la perdita dei dati e accelerare i processi di rispristino. E’ fondamentale isolare dalla rete i backup critici per evitare che, in caso di attacco ransomware, finiscano criptati anche i backup. A tale scopo, ti consigliamo di valutare la nostra soluzione Strongbox Cloud PRO, appositamente pensata per le PMI.
Mantieni sempre aggiornato il sistema operativo, i software e gli applicativi in uso: le vulnerabilità sono le porte di accesso che consentono agli attaccanti di accedere alle reti. Verifica che questi software siano sempre aggiornati all’ultima versione disponibile ed installa le patch consigliate dal vendor. La suite di soluzioni di sicurezza aziendali Seqrite ha funzionalità specifiche a tale scopo: dalla gestione centralizzata delle patch alla scansione delle vulnerabilità.
Adotta l’approccio zero trust: applica il principio del “privilegio minimo” per tutti gli utenti: imposta cioè, utente per utente, solo le permissioni che gli sono effettivamente necessarie per svolgere le proprie mansioni. Fai si che ogni utente possa accedere soltanto alle informazioni che gli sono indispensabili.Per approfondire > Approccio di cybersecurity Zero Trust: perchè, come e quanto è importante per le aziende con forza lavoro remota
Evita di scaricare file o cliccare su link contenuti nelle email: spesso l’accesso alle reti da parte degli attaccanti non avviene tramite sofisticate tecniche di attacco, ma anzi l’attaccante fa breccia nel punto più debole della catena della cyber sicurezza: l’utente. E’ fondamentale non fare click su link né scaricare allegati contenuti in email inaspettate, sospette, improvvise. Infine non abilitare mai le macro contenute nei documenti circolanti via email, a meno che non ci sia l’assoluta certezza della legittimità della comunicazione.Per Approfondire > Attacchi basati sulle macro di Office: come funzionano? Breve vademecum
Forma i dipendenti, i collaboratori e chiunque acceda alla rete: come detto, l’anello debole della catena di cyber sicurezza e sicurezza dei dati è l’utente. Forma dipendenti e collaboratori, rendili partecipi dei protocolli di sicurezza e consapevoli e sensibili rispetto ai rischi, almeno quelli più diffusi. Stabilisci un protocollo di reazione in caso di incidente informatico, così che tutti sappiano cosa fare in caso dovesse verificarsi un attacco ransomware.
Non esporre mai direttamente in internet le connessioni Remote Desktop Protocol. Se proprio hai necessità di usare l’RDP, fallo sempre tramite una VPN.
Implementa un modello di sicurezza stratificato (multi livello) nella scelta di un approccio stratificato alla sicurezza, consigliamo di valutare attentamente: > sicurezza delle reti e dei server; > gestione degli endpoint; > gestione dei dispositivi mobile.Per approfondire > Implementa un modello di sicurezza stratificato con Seqrite!
Implementa sistemi di protezione preventiva: come l’Intrusion Prevention Sistem (IPS) e il Web Application Firewall. Saranno utili protezioni perimetrali, se posti a difesa dei servizi esposti su Internet.
