Aggiornamenti recenti Settembre 20th, 2024 9:00 AM
Lug 08, 2024 Marina Londei Attacchi, Hacking, In evidenza, Malware, Minacce, News, RSS 0
I ricercatori di Group-IB hanno scoperto Eldorado, un ransomware-as-a-service presente da marzo in grado di cifrare file sui sistemi Windows e Linux.
Il servizio è stato pubblicizzato su RAMP, uno dei forum di ransomware più noti e frequentati sul dark web. I ricercatori di Group-IB si sono infiltrati nel gruppo come pentesters e hanno scoperto che la gang era composta da individui russofoni.
Eldorado usa Golang per abilitare l’operatività cross-platform, usa Chacha20 per la cifratura dei file e RSA-OAEP per la cifratura delle chiavi. Il ransomware è in grado di cifrare file su reti condivise usando il protocollo SMB e usa il nome della compagnia target, i dettagli della nota di riscatto e le credenziali di admin come parametri per ciascuna build del malware.
Dopo aver fatto richiesta di affiliazione al gruppo, gli attaccanti generano la build del ransomware specifica per l’affiliato sulla base dei parametri da lui specificati. L’encryptor viene condiviso in quattro formati: esxi, esxi_64, win e win_64. Insieme al malware viene fornito un manuale per l’uso che include, tra le altre cose, una serie di comandi e parametri da specificare per definire il perimetro della cifratura.
I file cifrati hanno estensione “.00000001” e durante il processo di cifratura viene loggato in console il progresso del ransomware. Al termine dell’operazione, il malware crea una nota di riscatto in .txt intitolata “HOW_RETURN_YOUR_DATA” sia sul Desktop che nella cartella Documents con le istruzioni su come contattare l’affiliato dietro l’attacco. Il testo della nota viene personalizzato in fase di build del ransomware.
Il ransomware, spiegano i ricercatori di sicurezza, non è basato sul codice sorgente di altri ransomware: il gruppo ha creato il servizio da zero. “Sebbene sia relativamente nuovo e non sia un rebrand di gruppi di ransomware ben noti, Eldorado ha dimostrato in breve tempo la sua capacità di infliggere danni significativi ai dati, alla reputazione e alla continuità aziendale delle sue vittime” si legge sul blog di Group-IB.
A giugno 2024 si contano sedici compagnie appartenenti a diversi Paesi e di diversi settori vittime di Eldorado. Tredici incidenti si sono verificati solo negli Stati Uniti, due in Italia e uno in Croazia. Il settore più colpito è quello dell’immobiliare (tre attacchi), seguito dall’educativo, dai servizi professionali, dal sanitario e dal manifatturiero, ognuno con due attacchi, e dalle telecomunicazioni, dai servizi per il business, dai servizi amministrativi, dai trasporti e dalle realtà governative e militari con un attacco ciascuno.
Come sottolinea Group-IB, Eldorado è l’ennesima conferma che il panorama dei ransomware è in continua evoluzione e sta mettendo a serio rischio la sicurezza delle aziende. “Il continuo sviluppo di nuovi ceppi di ransomware e l’emergere di sofisticati programmi di affiliazione dimostrano che la minaccia è lungi dall’essere contenuta. Le organizzazioni devono rimanere vigili e proattive nei loro sforzi di cybersecurity per mitigare i rischi posti da queste minacce in continua evoluzione” affermano i ricercatori.
Per rafforzare le difese, le imprese sono invitate a implementare l’autenticazione multi-fattore e scegliere soluzioni EDR per il monitoraggio degli endpoint e l’identificazione di attività sospette con approccio proattivo, permettendo ai team di sicurezza di agire non appena si presenta il problema.
In caso di successo degli attacchi, le aziende devono avere una strategia di backup solida che permetta di ripristinare in maniera efficiente i file cifrati, riducendo al minimo la perdita di dati.
Infine, non può mancare un processo di patching per mantenere i software aggiornati e ridurre il numero di vulnerabilità e la definizione di programmi di training per i dipendenti, aiutandoli a identificare attività sospette e tentativi di phishing.
Set 19, 2024 0
Set 17, 2024 0
Set 13, 2024 0
Ago 27, 2024 0
Set 20, 2024 0
Set 18, 2024 0
Set 16, 2024 0
Set 16, 2024 0
Set 20, 2024 0
Secondo il report del primo trimestre 2024 di Cisco Talos...Set 19, 2024 0
Ora più che mai le aziende si trovano nel mirino dei...Set 18, 2024 0
Negli ultimi tempi gli abusi “transitivi” di...Set 13, 2024 0
Nel suo ultimo Patch Tuesday Microsoft aveva segnalato la...Set 06, 2024 0
Il quishing non è una minaccia nuova, ma negli ultimi...Mag 21, 2024 0
Una delle sfide principali delle aziende distribuite sul...Mag 08, 2024 0
L’ultimo non è stato un buon anno per Microsoft:...Mag 04, 2018 0
E se vi dicessimo che la saga di Star Wars ...Nov 14, 2016 2
Abbiamo rubato al blog di Kaspersky un vecchio pezzo di...Nov 08, 2016 2
Il numero uno degli scacchi mondiali Magnus Carlsen ha...Set 20, 2024 0
Secondo il report del primo trimestre 2024 di CiscoSet 17, 2024 0
Pochi giorni fa il Port of Seattle, l’agenzia...Set 16, 2024 0
I ricercatori di Doctor Web hanno scoperto Vo1d, unSet 16, 2024 0
Nel corso dell’ultima settimana, il CERT-AGID ha...Set 13, 2024 0
I ricercatori di Aqua Nautilus hanno individuato un nuovo...