Nel 2019, tantissime aziende e organizzazioni sono state vittime di attacchi ransomware: governi locali, aziende manifatturiere, ospedali, infrastrutture critiche etc.
Mentre sappiamo chi sono le vittime di questi attacchi, il più delle volte, l’origine del malware utilizzato negli incidenti rimane sconosciuta.
Alcune eccezioni includono RobinHood, il ransomware che ha mandato in tilt la città di Baltimora, rilevato diversi mesi dopo che era stato sferrato l’attacco; o LockerGoga, il ransomware che ha costretto Norsk Hydro a disconnettere 22.000 computer in 40 paesi.
PureLocker: un Nuovo Ransomware con Tattiche Insolite
È stata scoperta un'altra variante di ransomware che sta minacciando le organizzazioni di tutto il mondo. PureLocker viene utilizzato in attacchi mirati contro i server aziendali e sembra avere collegamenti con noti gruppi criminali informatici.
Questo malware, che crittografa i server delle vittime per richiedere un riscatto, è stato analizzato dai ricercatori di Intezer e IBM X-Force. È stato nominato PureLocker perché è scritto nel linguaggio di programmazione PureBasic.
La scelta di questa lingua è insolita, ma offre agli aggressori numerosi vantaggi, come il fatto che i provider di sicurezza informatica spesso lottano per generare firme di rilevamento affidabili per software malevoli scritti in questa lingua.
PureBasic è anche facilmente trasferibile tra Windows, Linux e OX-X, il che facilita notevolmente gli attacchi su altre piattaforme.
Server Come Obiettivo Principale
Scegliere i server come obiettivo dell'attacco potrebbe essere una strategia per cercare di ottenere ricatti più elevati dalle vittime.
Gli attacchi ai server spesso portano a richieste di riscatto di centinaia di migliaia di euro. Questo perché le organizzazioni tendono ad archiviare i loro dati più importanti sui server e sono quindi più propensi a pagare somme più elevate per recuperare queste informazioni critiche.
Sebbene non siano presenti dati sul numero di vittime da parte di PureLocker, i ricercatori hanno confermato che si tratta di una campagna ancora attiva.
Inoltre, sembra che PureLocker sia offerto "as-a-service". Si ritiene che questo "ransomware-as-a-service" sia offerto esclusivamente alle organizzazioni criminali informatiche che possono permettersi di pagare un prezzo elevato.
Una Backdoor Esclusiva
Il codice sorgente di PureLocker offre alcuni indizi sulla sua natura esclusiva, come il fatto che contenga stringhe del malware backdoor "more_eggs".
Alcuni dei più noti gruppi di criminali informatici attualmente in circolazione utilizzano questi strumenti, tra cui Cobalt Gang e FIN6, e PureLocker sembra condividere parte di codice con campagne precedentemente condotte da questi gruppi.
Ciò indica che PureLocker è stato progettato da criminali informatici esperti in grado di attaccare grandi aziende.
Le vittime di PureLocker ricevono un'e-mail con una richiesta di riscattoper negoziare il pagamento per decrittografare i loro file.
Nell'e-mail è specificato anche che hanno solamente sette giorni per pagare; in caso di mancato rispetto della scadenza, la chiave di decodifica sarà cancellata.
Protezione da Attacchi Sofisticati
I ricercatori sulla sicurezza informatica che hanno analizzato il ransomware non sono ancora sicuri sulle modalità di consegna alle vittime. Tuttavia, gli attacchi more_eggs solitamente vengono inviati attraverso e-mail di phishing.
Le somiglianze tra questo malware e PureLocker suggeriscono che l’attacco possa seguire la stessa modalità. Dato che nessuno sa esattamente come entra nei server delle vittime, l'unico modo per proteggersi da PureLocker è utilizzare un approccio zero-trust al fine di garantire che nessuna porta sia lasciata aperta.
Qualsiasi e-mail sospetta deve essere inviata direttamente al team di sicurezza IT e gli allegati di mittenti sconosciuti non devono mai essere aperti.
Un'altra misura indispensabile è che ogni azienda sia dotata di una soluzione avanzata di sicurezza informatica.
Panda Adaptive Defense monitora costantemente ogni processo all'interno dei sistemi aziendali. Se rileva qualsiasi processo sospetto o sconosciuto, lo blocca immediatamente e ne interrompe l'esecuzione fino a quando non sia considerato completamente affidabile.
In questo modo, l’azienda è protetta da qualsiasi minaccia, indipendentemente dalla sua natura.
Inoltre, Panda Adaptive Defense non si basa sulle firme. Ciò significa che, anche se un malware contiene modalità per ostacolare la creazione di firme di rilevamento, come nel caso di PureLocker, la soluzione di Panda Security è in grado di rilevare e bloccare la minaccia.
Panda Adaptive Defense è la soluzione centralizzata, gestita in Cloud, per proteggere tutti i dispositivi dell'azienda, compresi portatili, smartphone, tablet, server e sistemi di virtualizzazione. La soluzione Panda Adaptive Defense consente di monitorare in tempo reale e con la massima semplicità la rete e tutti i dispositivi connessi.
Se vuoi avere maggiori informazioni sulla soluzione di Panda Security invia una mail a cio@florence-consulting.it o chiama lo (055) 538-3250.
In alternativa, puoi compilare il form sottostante con la tua domanda.
