WastedLocker: una variante di ransomware complessa che prende di mira le grandi aziende

Il ransomware è un tipo di software dannoso progettato per bloccare i file su un computer o un sistema fino al pagamento di un riscatto. Uno dei primi ransomware mai documentati è stato il PC Cyborg del 1989: richiedeva un magro riscatto di 189 dollari per decrittografare i file bloccati.

La tecnologia informatica ha fatto molta strada dal 1989 e il ransomware si è evoluto insieme ad essa, portando a varianti complesse e potenti come WastedLocker. Quindi, come funziona WastedLocker? Chi ne è stato colpito? E come puoi proteggere i tuoi dispositivi?

Che cos'è WastedLocker e come funziona?

Scoperto per la prima volta all'inizio del 2020, WastedLocker è gestito dal famigerato gruppo di hacker Evil Corp, noto anche come INDRIK SPIDER o banda Dridex, e molto probabilmente ha legami con le agenzie di intelligence russe.

L'Office of Foreign Assets Control del Dipartimento del Tesoro degli Stati Uniti ha emesso sanzioni contro Evil Corp nel 2019 e il Dipartimento di Giustizia ha incriminato il suo presunto leader Maksim Yakubets, che ha costretto il gruppo a cambiare tattica.

Gli attacchi WastedLocker iniziano in genere con SocGholish, un Trojan di accesso remoto (RAT) che impersona gli aggiornamenti del browser e di Flash per indurre l'obiettivo a scaricare file dannosi.

IMPARENTATO: Che cos'è un trojan di accesso remoto?

Una volta che l'obiettivo scarica l'aggiornamento falso, WastedLocker crittografa efficacemente tutti i file sul proprio computer e li aggiunge con "sprecato", che sembra essere un cenno ai meme di Internet ispirati al videogioco Grand Theft Auto serie.

Quindi, ad esempio, un file originariamente chiamato "muo.docx" apparirà come "muo.docx.wasted" su una macchina compromessa.

Per bloccare i file, WastedLocker utilizza una combinazione di Advanced Encryption Standard (AES) e Algoritmi di crittografia Rivest-Shamir-Adleman (RSA), che rendono virtualmente impossibile la decrittazione senza Evil La chiave privata dell'azienda.

L'algoritmo di crittografia AES viene utilizzato da istituzioni finanziarie e governi: la National Security Agency (NSA), ad esempio, lo utilizza per proteggere le informazioni top secret.

Prende il nome da tre scienziati del Massachusetts Institute of Technology (MIT) che per primi lo descrissero pubblicamente nel Negli anni '70, l'algoritmo di crittografia RSA è considerevolmente più lento di AES e utilizzato principalmente per crittografare piccole quantità di dati.

WastedLocker lascia una richiesta di riscatto per ogni file che crittografa e indirizza la vittima a contattare gli aggressori. Il messaggio in genere contiene un indirizzo e-mail Protonmail, Eclipso o Tutanota.

Le note di riscatto sono generalmente personalizzate, menzionano l'organizzazione di destinazione per nome e mettono in guardia contro il contatto con le autorità o la condivisione delle e-mail di contatto con terze parti.

Progettato per colpire le grandi aziende, il malware di solito richiede riscatti fino a 10 milioni di dollari.

Attacchi di alto profilo di WastedLocker

A giugno 2020, Symantec ha scoperto 31 attacchi WastedLocker a società con sede negli Stati Uniti. La stragrande maggioranza delle organizzazioni mirate erano grandi nomi familiari e 11 erano aziende Fortune 500.

Il ransomware ha preso di mira aziende in vari settori, tra cui produzione, tecnologia dell'informazione, media e telecomunicazioni.

Evil Corp ha violato le reti delle aziende mirate, ma Symantec è riuscita a impedire agli hacker di distribuire WastedLocker e di trattenere i dati per ottenere un riscatto.

Il numero totale reale di attacchi potrebbe essere molto più alto perché il ransomware è stato distribuito attraverso dozzine di siti di notizie popolari e legittimi.

Inutile dire che le aziende che valgono miliardi di dollari hanno una protezione di prim'ordine, il che la dice lunga su quanto sia pericoloso WastedLocker.

Quella stessa estate, Evil Corp ha schierato WastedLocker contro la società americana di GPS e fitness tracker Garmin, che si stima abbia un fatturato annuo di oltre $ 4 miliardi.

Come la società di sicurezza informatica israeliana Votiro notato all'epoca, l'attacco ha paralizzato Garmin. Ha interrotto molti dei servizi dell'azienda e ha persino avuto un effetto sui call center e su alcune linee di produzione in Asia.

Secondo quanto riferito, Garmin ha pagato un riscatto di $ 10 milioni per riottenere l'accesso ai suoi sistemi. L'azienda ha impiegato giorni per mettere in funzione i suoi servizi, il che presumibilmente ha causato enormi perdite finanziarie.

Sebbene Garmin apparentemente pensasse che pagare il riscatto fosse il modo migliore e più efficiente per affrontare la situazione, è importante notare che non ci si dovrebbe mai fidare dei criminali informatici, a volte non hanno alcun incentivo a fornire una chiave di decrittazione dopo aver ricevuto il riscatto pagamento.

In genere, la migliore linea d'azione in caso di attacco informatico è contattare immediatamente le autorità.

Inoltre, i governi di tutto il mondo impongono sanzioni contro i gruppi di hacker e talvolta queste sanzioni si applicano anche alle persone che inviano o facilitano il pagamento di un riscatto, quindi ci sono anche rischi legali per tener conto di.

Che cos'è il ransomware variante Hades?

Nel dicembre 2020, i ricercatori della sicurezza hanno individuato una nuova variante di ransomware soprannominata Hades (per non essere confuso con Hades Locker 2016, che di solito viene distribuito tramite e-mail sotto forma di MS Word allegato).

Un'analisi da sciopero della folla ha scoperto che Hades è essenzialmente una variante compilata a 64 bit di WastedLocker, ma ha identificato diverse differenze chiave tra queste due minacce malware.

Ad esempio, a differenza di WastedLocker, Hades non lascia una richiesta di riscatto per ogni file che crittografa, ma crea una singola richiesta di riscatto. E memorizza le informazioni chiave in file crittografati, invece di archiviarle nella richiesta di riscatto.

La variante Ade non lascia informazioni di contatto; indirizza invece le vittime a un sito Tor, che è personalizzato per ogni target. Il sito Tor consente alla vittima di decrittare un file gratuitamente, il che è evidentemente un modo per Evil Corp di dimostrare che i suoi strumenti di decrittazione funzionano davvero.

Hades ha principalmente preso di mira le grandi organizzazioni con sede negli Stati Uniti con entrate annuali superiori a $ 1 miliardi, e il suo dispiegamento ha segnato l'ennesimo tentativo creativo di Evil Corp di rinominare ed eludere sanzioni.

Come proteggersi da WastedLocker

Con gli attacchi informatici in aumento, investire in strumenti di protezione ransomware è un must assoluto. È inoltre imperativo mantenere aggiornato il software su tutti i dispositivi per impedire ai criminali informatici di sfruttare le vulnerabilità note.

Varianti di ransomware sofisticate come WastedLocker e Hades hanno la capacità di spostarsi lateralmente, il che significa che possono accedere a tutti i dati su una rete, incluso il cloud storage. Questo è il motivo per cui mantenere un backup offline è il modo migliore per proteggere i dati importanti dagli intrusi.

Poiché i dipendenti sono la causa più comune di violazioni, le organizzazioni dovrebbero investire tempo e risorse nella formazione del personale sulle pratiche di sicurezza di base.

In definitiva, l'implementazione di un modello di sicurezza Zero Trust è probabilmente il modo migliore per garantire un'organizzazione è protetto dagli attacchi informatici, compresi quelli condotti da Evil Corp e altri hacker sponsorizzati dallo stato gruppi.

Che cos'è una rete Zero Trust e come protegge i tuoi dati?

Stai cercando di proteggere la tua azienda dai criminali informatici? Le VPN sono fantastiche, ma potrebbero non essere efficaci quanto le ZTN con perimetri definiti dal software.

Leggi Avanti

Circa l'autore