I gruppi di ransomware stanno modificando i loro strumenti per attaccare più piattaforme e sistemi operativi
Due gruppi di ransomware emergenti, noti come RedAlert e Monster, hanno adottato funzionalità multipiattaforma per semplificare l'esecuzione degli attacchi contro più sistemi operativi e ambienti. È un brillante esempio di una tendenza vertiginosa verso gli attacchi ransomware multipiattaforma, per i quali i difensori devono prepararsi.
Si pensa che il gruppo, Monster, sia il primo a sviluppare una GUI (un'interfaccia utente grafica) ransomware e fa parte di una tendenza crescente tra gli hacker a sviluppare malware che può essere distribuito su più sistemi operativi, rendendolo più pericoloso per le aziende.
Sia Monster che RedAlert sono riusciti a eseguire attacchi a diversi sistemi operativi senza ricorrere a linguaggi multipiattaforma.
I gruppi hanno imparato ad adattare il proprio malware a diversi sistemi operativi contemporaneamente e quindi a causare danni a più organizzazioni.
L'ascesa del ransomware multipiattaforma
È diventato sempre più comune per i criminali ransomware utilizzare linguaggi multipiattaforma come Rust o Golang per scrivere il proprio malware, il che significa che può essere distribuito più ampiamente. BlackCat e Hive sono due bande che hanno implementato tali tattiche.
Gli hacker coinvolti sono in grado di utilizzare malware non scritto in linguaggi multipiattaforma per prendere di mira diversi sistemi operativi contemporaneamente.
I gruppi di ransomware che distribuiscono malware scritti in un linguaggio multipiattaforma non sono nuovi, tuttavia, in questi giorni i criminali informatici hanno imparato a modificare il loro codice dannoso scritto in semplici linguaggi di programmazione per attacchi congiunti.
Come Monster e RedAlert distribuiscono il loro ransomware
RedAlert utilizza malware scritto in un semplice linguaggio di programmazione C, come rilevato nell'esempio di Linux. Tuttavia, il malware supporta anche esplicitamente gli ambienti hypervisor ESXi di VMware. Inoltre che RedAlert accetta solo pagamenti in criptovaluta Monero, rendendo il denaro più difficile da rintracciare, ma allo stesso tempo non è accettato in tutti i paesi e da ogni scambio, quindi le vittime potrebbero dover affrontare un problema con il pagamento del riscatto..
Monster, nel frattempo, ha scritto il suo malware nel linguaggio di programmazione generico Delphi. Viene fornito con una GUI, che è particolarmente peculiare.
Distribuisci una volta, colpisci molti
Ci sono diverse ragioni per questa tendenza: da una parte, riduce la manodopera. Gli aggressori devono solo scrivere una determinata funzionalità del programma una volta e sono quindi in grado di utilizzare il codice risultante per eseguire lo script degli attacchi contro più obiettivi.
Altro vantaggio è la capacità di ostacolare l'analisi, oltre alla possibilità di personalizzare gli attacchi a specifici ambienti delle vittime. I gruppi possono utilizzare le righe di comando per personalizzare un attacco per impedire, ad esempio, l'esecuzione del codice in ambienti ESXi o, al contrario, per concentrarsi su determinati tipi di macchine virtuali client.
Il loro obiettivo è danneggiare il maggior numero possibile di sistemi adattando il loro codice malware a diversi sistemi operativi contemporaneamente