Un recente attacco, che è riuscito a saccheggiare la rete di un’azienda in poche ore, dimostra perché il malware è diventato così diffuso.
Il ransomware è emerso come una delle principali minacce per le grandi organizzazioni negli ultimi anni, con i ricercatori che hanno segnalato più di un quadruplo aumento delle rilevazioni l’anno scorso. Un recente attacco da parte di un ceppo abbastanza nuovo chiamato LockBit spiega perché: dopo aver saccheggiato la rete di una società scarsamente protetta, nel giro di poche ore, l’azienda presa di mira non ha avuto altra scelta se non quella di pagare il riscatto.
Un rapporto pubblicato da McAfee documenta l’efficacia di questo nuovo ransomware. LockBit è più diffuso in paesi tra cui Stati Uniti, Regno Unito, Francia, Germania, Ucraina, Cina, India e Indonesia. Gli aggressori sono partiti ricercando potenziali obiettivi con dati preziosi e i mezzi per effettuare grandi pagamenti di fronte alla debole prospettiva di perderne l’accesso. Gli aggressori hanno quindi utilizzato un elenco di parole nella speranza di ottenere l’accesso a uno degli account. Alla fine, hanno fatto jackpot: un account amministrativo che aveva privilegi su tutta la rete. La password dell’account debole, unita alla mancanza di protezione dell’autenticazione a più fattori, ha fornito agli aggressori tutti i diritti di sistema di cui avevano bisogno.
Molti concorrenti di LockBit come Ryuk fanno affidamento su hacker umani che, una volta ottenuto l’accesso, trascorrono molto tempo a rilevare e sorvegliare la rete di un target, prima di rilasciare il codice che lo crittograferà. LockBit ha funzionato diversamente. “La parte interessante di questo pezzo di ransomware è che si auto-diffonde”, ha affermato Patrick van Looy, uno specialista della sicurezza informatica della Northwave, una delle aziende che ha risposto all’infezione. “Quindi, l’attaccante è stato all’interno della rete solo per alcune ore. Normalmente vediamo che un attaccante è all’interno della rete per giorni o addirittura settimane e fa questa ricognizione della rete manualmente. ”
Dopo essere entrato, LockBit ha usato un doppio metodo per mappare e infettare la rete vittimizzata. Le tabelle ARP, che associano gli indirizzi IP locali agli indirizzi MAC dei dispositivi, hanno aiutato a individuare i sistemi accessibili e il blocco dei messaggi del server, un protocollo utilizzato per condividere file e cartelle tra macchine in rete, ha permesso ai nodi infetti di connettersi a quelli non infetti. LockBit ha eseguito quindi uno script PowerShell che ha diffuso il ransomware su tali macchine.
L’uso di SMB, tabelle ARP e PowerShell è un modo sempre più comune di diffondere malware in una rete e con buone ragioni. Poiché quasi tutte le reti fanno affidamento su questi strumenti, è difficile per antivirus e altre difese della rete rilevare il loro uso dannoso. LockBit aveva un altro modo per rimanere invisibile. Il file dannoso scaricato dallo script PowerShell era mascherato da immagine PNG. In effetti, il file scaricato era un programma eseguibile che crittografava i file sulla macchina.
LockBit ha avuto un altro trucco intelligente. Prima che i dati crittografati del ransomware, si connettessero a un server controllato dagli aggressori e quindi usassero l’indirizzo IP della macchina per determinare dove si trovava. Se risiedesse in Russia o in un altro paese collegato, interromperebbe il processo. È molto probabile che la ragione impedisca di essere perseguiti dalle autorità.
Continua a leggere .. www.wired.com/story/lockbit-is-the-new-ransomware-for-hire/
Comments