Diverse nuove minacciose minacce ransomware sono spuntate come erbacce quest'estate, tormentando le vittime sia con la tradizionale crittografia dei file che con la pubblicazione di dati rubati su siti di fuga. Ransomware come Avaddon , DarkSide e Conti si sono uniti a un campo già affollato che include importanti ransomware azionati da esseri umani come Sodinokibi (aka REvil), Maze e altri.
E quando queste nuove minacce colpiscono, le vittime possono trovarsi in uno svantaggio ancora maggiore del solito a causa della mancanza di intelligenza per creare profili di minaccia utili. In effetti, "Le nuove varianti di ransomware presentano sfide sia tecniche che logistiche alle vittime e ai fornitori di servizi", ha affermato Bill Siegel, CEO e co-fondatore di Coveware.
L'emergere di possibili nuovi gruppi di minacce che pianificano ed eseguono questi attacchi ransomware aggiunge anche un senso di mistero, sebbene non sia chiaro se alcuni di questi attori abbiano precedenti affiliazioni di malware che potrebbero offrire indizi su come funzionano. Sulla base di rapporti disponibili pubblicamente, DarkSide e Avaddon rimangono quantità in gran parte sconosciute, sebbene Siegel abbia detto a SC Media che entrambi i ransomwaress sono gestiti da attori che si comportano come se l'avessero già fatto prima. Conti, invece, è stato ufficialmente collegato agli operatori di Ryuk ransomware.
Ogni volta che emerge un nuovo ransomware, le sfide tecniche per la comunità della sicurezza ruotano attorno alla capacità degli analisti di sapere esattamente con cosa hanno a che fare. Ciò significa valutare quali dati sono stati crittografati, se il malware può diffondersi ulteriormente e se qualcosa è recuperabile.
"Con una nuova variante, una revisione tecnica è spesso una priorità per garantire che la crittografia sia pulita", il che significa se può essere decrittografata o se tutto è danneggiato in modo permanente, ha spiegato Siegel. "Da lì, cercare di collegare l'attribuzione del gruppo è la priorità successiva, poiché la maggior parte delle nuove varianti viene prodotta da attori esistenti che stanno passando a nuovi kit di malware".
Jen Miller-Osborn, vicedirettore dell'intelligence sulle minacce per l'Unità 42 di Palo Alto Networks, concorda: "Con qualsiasi nuovo aggressore, in particolare che coinvolge ransomware, è importante stabilire se i file possono effettivamente essere decrittografati", ha detto. "Ci sono stati diversi casi in cui configurazioni errate o altri errori di codifica nel ransomware significavano che una volta che i file erano stati crittografati, non c'era modo di decrittografarli."
Ma non è sempre facile mettere le mani su un campione per eseguire tale analisi, ha affermato Tarik Saleh, ingegnere di sicurezza senior e ricercatore di malware di DomainTools, che concorda con la comunità dell'intelligence sulle minacce che spesso si ritrova a "recuperare i dati" quando emerge un nuovo ransomware nella natura selvaggia. “In genere, dobbiamo attendere fino a quando i campioni di ransomware non siano resi disponibili pubblicamente o in alcune comunità CTI [Cyber Threat Intelligence]. Fino ad allora, dobbiamo generalmente fare affidamento sull'intelligenza di coloro che hanno interagito con il ransomware ".
Nel caso del ransomware-as-a-service (RaaS), i cacciatori di minacce possono pattugliare i forum della dark net dove gli sviluppatori di ransomware offrono i loro strumenti a potenziali affiliati che sono disposti a condividere una percentuale dei loro profitti di estorsione illeciti. Ma anche allora, ha detto Saleh, "generalmente non possiamo acquistarli".
Il che significa che, in molti casi, una povera vittima deve essere la cavia. “Hai bisogno di un paziente zero. Prima di poter ottenere informazioni su un attore, qualcuno deve aver già avuto una brutta giornata ", ha detto James Shank, capo architetto dei servizi per la comunità del Team Cymru.
Anche dopo aver ricevuto un campione, imparare come funziona un nuovo ransomware è un compito laborioso. Sfortunatamente, le prime vittime di un nuovo malware, il tempo continua a ticchettare e la pressione continua a salire, soprattutto quando il prezzo dell'estorsione aumenta più a lungo si protrae l'attacco.
"Sebbene il ransomware sia di solito abbastanza semplice da un punto di vista tecnico, invertire l'ingegnerizzazione del nuovo malware richiede sempre tempo", ha affermato Miller-Osborn. "In alcuni casi, i ricercatori sulle minacce sono … stati in grado di capire come decrittografare i file, assicurando che non sarà necessario pagare un riscatto. Il fatto che spesso questo debba essere fatto rapidamente durante un incidente in corso può significare lunghe ore. "
Un altro ostacolo quando si affrontano nuovi ransomware è capire come interagire al meglio e dialogare con aggressori sconosciuti. Senza precedenti precedenti, è difficile stabilire se gli avversari manterranno la parola data, se negozieranno ragionevolmente o se sono dilettanti o truffatori professionisti.
"Se si dispone di un ampio set di dati sulle esperienze comportamentali, è relativamente semplice progettare una strategia di negoziazione basata sull'attribuzione interna", ha affermato Siegel. "Gli attori veramente nuovi, che usano nuovi kit, sono molto più impegnativi, poiché non esiste un comportamento precedente diretto da abbinare".
Saleh alla fine scoraggia le organizzazioni dal negoziare o pagare del tutto, indipendentemente da chi sia l'attore.
"Anche se penso che, sulla carta, sia più facile fidarsi di qualcuno di cui si conoscono alcune informazioni, alla fine non importa quando si tratta di ransomware", ha detto Saleh. "Sfortunatamente, il modello di fiducia è stato infranto dal gruppo di minacce che ti ha attaccato in primo luogo. Sono completamente empatico con le aziende che hanno pagato il riscatto, ma non sono d'accordo. Gli operatori di ransomware continueranno le loro campagne di attacco se riescono ad avere successo. Ancora una volta, non dovremmo fidarci di nessun attore di minacce nonostante la quantità di dati che abbiamo su di loro … "
Le ultime minacce ransomware
Da quando è emerso a giugno, Avaddon è stato oggetto di una serie di rapporti di analisi di aziende come Cofense , DomainTools , Proofpoint e TrendMicro .
Secondo il rapporto di Cofense, Avaddon è stato individuato per la prima volta recapitato a un'ampia gamma di obiettivi tramite la botnet Trik o Phorpiex, "segnalando la volontà degli attori della minaccia di lanciare una rete più ampia in cerca di riscatti".
Scritto in C ++, il malware è stato trovato disponibile per la vendita sui forum del dark web in lingua russa come offerta RaaS ed è progettato per indirizzare i sistemi Windows 7 o Windows 10 "che eseguono Internet Explorer che potrebbero non avere ATP / Defender abilitato", DomainTools rapporto ha detto. Al 13 agosto, gli Stati Uniti ospitano la più grande percentuale di vittime – il 25% – ma la richiesta di riscatto supporta nove lingue diverse. Il russo non è in particolare tra questi, e il malware viene fornito con funzionalità o accordi di licenza per l'utente finale che vietano gli attacchi ai paesi della CSI, suggerendo che il malware abbia origini russe.
L'8 agosto, gli attori di Avaddon hanno lanciato il loro sito di fuga di dati per fare pressione sulle vittime affinché paghino un riscatto prima che i loro dati esfiltrati vengano pubblicati in modo che il mondo possa vederli. Il malware stesso non ha un componente di esfiltrazione dei dati integrato, quindi i suoi distributori lo hanno accoppiato con il ladro di informazioni di RaccoonStealer, ha detto Cofense.
Nelle ultime settimane, Cofense ha riferito di una campagna di phishing basata su e-mail che ha impersonato FedEx e consegnato Avaddon tramite SmokeLoader, e TrendMicro e Proofpoint hanno entrambi dettagliato una campagna che distribuiva Avaddon tramite e-mail di phishing con oggetto evocativo che incoraggiava i lettori a controllare una foto allegata. Se l'allegato è stato aperto, il malware avrebbe utilizzato PowerShell e lo strumento da riga di comando BITSAdmin per scaricare ed eseguire il payload principale.
L'attore dietro il ransomware DarkSide gestito dall'uomo, nel frattempo, sta cercando giorni di paga particolarmente grandi.
Questo particolare gruppo è entrato in scena il 10 agosto e prende di mira le aziende con tasche profonde, in cerca di riscatti che vanno da $ 200.000 a $ 2 milioni, ha recentemente riportato BleepingComputer. Il gruppo ha affermato che non attaccherà organizzazioni non profit, governi o aziende nei settori della medicina o dell'istruzione, anche se resta da vedere.
Tra le prime vittime di spicco ad essere attaccate c'è stato il promotore di terreni e costruttore di case statunitensi e canadesi Brookfield Residential , una divisione della società Brookfield Asset Management da 56 miliardi di dollari.
I membri di questa banda di DarkSide affermano di essere ex affiliati di ransomware esperti che hanno creato la propria attività perché non sono mai riusciti a trovare il "prodotto perfetto". Il ransomware crea un eseguibile personalizzato e un'estensione di file per ogni vittima, crittografa i file utilizzando SALSA20 e RSA-1024 ed espelle i dati che in seguito possono essere inviati a un sito di fuga, ha riferito BleepingComputer, accreditando l'analisi del malware ai ricercatori Vitali Kremez e Michael Gillespie. Il ransomware utilizza anche una funzione di bypass UAC incorporata in grado di crittografare un computer anche quando viene eseguito come utente a bassa integrità, secondo quanto riportato da Minerva Labs mercoledì.
Secondo quanto riferito, ulteriori analisi hanno scoperto alcune somiglianze con il ransomware Sodinokibi / REvil , incluso lo stesso modello di richiesta di riscatto, l'uso di un comando PowerShell per eliminare le copie shadow del volume e l'evitare di prendere di mira le società con sede nei paesi della CSI.
Questa settimana è stato anche riferito che gli operatori dietro Conti – il successore confermato di Ryuk ransomware – hanno anche creato il proprio sito di fuga di dati a scopo di estorsione.
Conti è stato affiliato al sistema bancario o trojan modulare TrickBot, ha affermato BleepingComputer. È un'offerta RaaS alimentata dall'uomo per hacker esperti come affiliati che ricevono un'ampia quota di pagamenti di riscatto. Il malware sabota i file utilizzando la crittografia AES-256 ed elimina le copie shadow del volume di Windows per impedire il ripristino.
Conti è considerato relativamente unico a causa di molte delle sue caratteristiche e comportamenti, come riportato di recente da Carbon Black: utilizza una moltitudine di minacce indipendenti per eseguire fino a 32 operazioni di crittografia contemporaneamente; utilizza le opzioni della riga di comando per controllare come eseguire la scansione dei dati crittografati, che consente di saltare i file locali mentre si rivolge specificamente alle condivisioni SMB in rete; sfrutta Windows Restart Manager per chiudere le applicazioni e assicurarsi che siano crittografate; e possiede varie funzioni anti-analisi.
Il post Dimensionare il nuovo ransomware è un compito pesante per gli analisti delle minacce, le vittime sono apparse per prime su SC Media .