Aggiornamenti recenti Dicembre 11th, 2024 9:00 AM
Lug 08, 2024 Marina Londei Attacchi, Hacking, In evidenza, Malware, Minacce, News, RSS 0
I ricercatori di Group-IB hanno scoperto Eldorado, un ransomware-as-a-service presente da marzo in grado di cifrare file sui sistemi Windows e Linux.
Il servizio è stato pubblicizzato su RAMP, uno dei forum di ransomware più noti e frequentati sul dark web. I ricercatori di Group-IB si sono infiltrati nel gruppo come pentesters e hanno scoperto che la gang era composta da individui russofoni.
Eldorado usa Golang per abilitare l’operatività cross-platform, usa Chacha20 per la cifratura dei file e RSA-OAEP per la cifratura delle chiavi. Il ransomware è in grado di cifrare file su reti condivise usando il protocollo SMB e usa il nome della compagnia target, i dettagli della nota di riscatto e le credenziali di admin come parametri per ciascuna build del malware.
Dopo aver fatto richiesta di affiliazione al gruppo, gli attaccanti generano la build del ransomware specifica per l’affiliato sulla base dei parametri da lui specificati. L’encryptor viene condiviso in quattro formati: esxi, esxi_64, win e win_64. Insieme al malware viene fornito un manuale per l’uso che include, tra le altre cose, una serie di comandi e parametri da specificare per definire il perimetro della cifratura.
I file cifrati hanno estensione “.00000001” e durante il processo di cifratura viene loggato in console il progresso del ransomware. Al termine dell’operazione, il malware crea una nota di riscatto in .txt intitolata “HOW_RETURN_YOUR_DATA” sia sul Desktop che nella cartella Documents con le istruzioni su come contattare l’affiliato dietro l’attacco. Il testo della nota viene personalizzato in fase di build del ransomware.
Il ransomware, spiegano i ricercatori di sicurezza, non è basato sul codice sorgente di altri ransomware: il gruppo ha creato il servizio da zero. “Sebbene sia relativamente nuovo e non sia un rebrand di gruppi di ransomware ben noti, Eldorado ha dimostrato in breve tempo la sua capacità di infliggere danni significativi ai dati, alla reputazione e alla continuità aziendale delle sue vittime” si legge sul blog di Group-IB.
A giugno 2024 si contano sedici compagnie appartenenti a diversi Paesi e di diversi settori vittime di Eldorado. Tredici incidenti si sono verificati solo negli Stati Uniti, due in Italia e uno in Croazia. Il settore più colpito è quello dell’immobiliare (tre attacchi), seguito dall’educativo, dai servizi professionali, dal sanitario e dal manifatturiero, ognuno con due attacchi, e dalle telecomunicazioni, dai servizi per il business, dai servizi amministrativi, dai trasporti e dalle realtà governative e militari con un attacco ciascuno.
Come sottolinea Group-IB, Eldorado è l’ennesima conferma che il panorama dei ransomware è in continua evoluzione e sta mettendo a serio rischio la sicurezza delle aziende. “Il continuo sviluppo di nuovi ceppi di ransomware e l’emergere di sofisticati programmi di affiliazione dimostrano che la minaccia è lungi dall’essere contenuta. Le organizzazioni devono rimanere vigili e proattive nei loro sforzi di cybersecurity per mitigare i rischi posti da queste minacce in continua evoluzione” affermano i ricercatori.
Per rafforzare le difese, le imprese sono invitate a implementare l’autenticazione multi-fattore e scegliere soluzioni EDR per il monitoraggio degli endpoint e l’identificazione di attività sospette con approccio proattivo, permettendo ai team di sicurezza di agire non appena si presenta il problema.
In caso di successo degli attacchi, le aziende devono avere una strategia di backup solida che permetta di ripristinare in maniera efficiente i file cifrati, riducendo al minimo la perdita di dati.
Infine, non può mancare un processo di patching per mantenere i software aggiornati e ridurre il numero di vulnerabilità e la definizione di programmi di training per i dipendenti, aiutandoli a identificare attività sospette e tentativi di phishing.
Dic 11, 2024 0
Dic 06, 2024 0
Dic 04, 2024 0
Dic 02, 2024 0
Dic 10, 2024 0
Dic 09, 2024 0
Dic 09, 2024 0
Dic 09, 2024 0
Dic 10, 2024 0
In Cina scoppia il mercato nero dei dati sensibili: oltre a...Dic 09, 2024 0
Quali strumenti vengono usati in Italia per tracciare gli...Dic 06, 2024 0
Sempre più gruppi hacker stanno sfruttando gli eventi...Dic 05, 2024 0
Il settore della cyber insurance si sta espandendo: se...Dic 04, 2024 0
Le festività e gli weekend sono i periodi peggiori per le...Ott 09, 2024 0
Negli ultimi anni sempre più aziende stanno sottoscrivendo...Ott 02, 2024 0
Grazie al machine learning, il Global Research and Analysis...Set 30, 2024 0
Il 2024 è l’anno delle nuove normative di sicurezza:...Mag 21, 2024 0
Una delle sfide principali delle aziende distribuite sul...Mag 08, 2024 0
L’ultimo non è stato un buon anno per Microsoft:...Dic 11, 2024 0
I ricercatori di ESET hanno scoperto il primo bootkit...Dic 10, 2024 0
In Cina scoppia il mercato nero dei dati sensibili:Dic 09, 2024 0
Quali strumenti vengono usati in Italia per tracciare gli...Dic 09, 2024 0
La Cybersecurity and Infrastructure Security Agency (CISA)...Dic 09, 2024 0
Nel corso di questa settimana, il CERT-AGID ha individuato...