E' un periodo molto particolare in tutto il mondo, dove l'epidemia da Covid-19 è fondamentalmente il tema centrale in discussione in ogni nazione e questo, ovviamente, rappresenta per i cyber criminali un'onda da cavalcare. Abbiamo già dato notizia di molteplici campagne di diffusione malware, truffe e frodi di vario genere che sfruttano questa tematica per diffondere malware, rubare dati, convincere spaventati utenti ad acquistare software, applicazioni, dispositivi di protezione individuali dannosi o completamente inutili.
In Italia ne abbiamo già fatto le spese con la campagna di distribuzione del malware Trickbot tramite un documento compromesso presentato come vademecum per la prevenzione del virus. Appena due giorni fa Bleepingcomputer ha denunciato un'altra tecnica di attacco, per distribuire i malware Emotet e TrickBot: i cyber attaccanti inseriscono nei metadati o nella descrizione del file del malware stralci di notizie riguardanti il Covid-19, una tecnica che aiuta notevolmente questi malware ad eludere l'individuazione da parte delle soluzioni antivirus e antimalware che utilizzano l'intelligenza artificiale e il machine learning.
Il mondo dei ransomware ha invece reagito "in fila sparsa", potremmo dire, a questa situazione: la
redazione di BleepingComputer ha contattato alcuni degli operatori responsabili dei ransomware più diffusi in questo momento, chiedendo semplicemente quali fossero le loro intenzioni. La domanda non è affatto scontata visto che, molto meno in Europa, ma significativamente negli Stati Uniti, negli ultimi mesi organizzazioni sanitarie e mediche sono state ripetutamente bersaglio di ransomware, con la conseguente perdita di dati e l'impossibilità di accedere alle cartelle cliniche di centinaia di migliaia di pazienti. Inutile dire quanto, in questo momento, potrebbe risultare catastrofico un attacco ransomware che dovesse colpire una struttura sanitaria pienamente operativa nel contrasto a virus, magari con molti pazienti in terapia intensiva. Gli attori del ransomware DopplePaymer, che ha visto alcune vittime in Europa ma principalmente colpisce target negli USA, hanno ribadito che mai hanno colpito strutture sanitarie o case di cura e che continueranno a seguire questo approccio. Hanno spiegato che, talvolta, un attacco ransomware può avere effetti anche sulle reti di strutture sanitarie e di soccorso solo in conseguenza di errate configurazioni delle reti sotto attacco, ma in questi casi renderanno gratuitamente il decryptor alle strutture colpite.
Il ransomware Maze, protagonista di centinaia di attacchi negli USA, ha risposto alle domande della redazione di BleepingComputer con un vero e proprio comunicato stampa pubblicato sui loro canali: il sunto è chiaro, fino alla fine dell'epidemia nessuna struttura ospedaliera, sanitaria o di assistenza subirà alcun attacco. Maze ha visto una campagna di diffusione anche in Italia: era diffuso tramite falsi documenti, scritte in italiano corretto, dell'Agenzia delle Entrate.
Gli attacchi ransomware non sono però cessati, neppure contro strutture sanitarie e anzi, tra tutti spicca il ransomware Sodinokibi, che ha "rilanciato" al contrario. Anche Sodinokibi ha avuto diffusione in Italia: nel Giugno 2019 era diffuso tramite una massiva campagna di email di spam a tema legale. Poi se ne sono perse le tracce, mentre negli Stati Uniti ha continuato ad essere diffuso con attacchi mirati. Sodinokibi rientra nelle file di quei ransomware che hanno rappresentato un vero e proprio cambiamento nel mondo di questa tipologia di attacchi: non più solo criptazione dei dati, anzi. Questi ransomware prima di criptare tutti i dati, li rubano dalle reti attaccate e li utilizzano come strumento di ricatto, minacciando la diffusione di dati sensibili e "scottanti" qualora la vittima non si mostri immediatamente pronta al pagamento del riscatto.
Ad ora però si sono sempre viste pubblicazioni di pochissimi MB di dati rubati sui forum di hacking, più per far sapere alle vittime che i loro dati sono finiti in mano agli attaccanti che per altri scopi. Sodinokibi, in questi giorni, ha fatto il passo ulteriore. Qualche giorno fa ha colpito la rete aziondale di una impresa statunitense, la Broooks International. L'azienda si è immediatamente rifiutata di pagare il riscatto, così gli attori di Sodinokibi hanno pubblicato ben 12 GB di dati rubati. Se già questo è già grave, la parte peggiore è stata che quei dati non sono stati solo pubblicati, ma per la prima volta, messi in vendita nel dark web.
Ad ora però si sono sempre viste pubblicazioni di pochissimi MB di dati rubati sui forum di hacking, più per far sapere alle vittime che i loro dati sono finiti in mano agli attaccanti che per altri scopi. Sodinokibi, in questi giorni, ha fatto il passo ulteriore. Qualche giorno fa ha colpito la rete aziondale di una impresa statunitense, la Broooks International. L'azienda si è immediatamente rifiutata di pagare il riscatto, così gli attori di Sodinokibi hanno pubblicato ben 12 GB di dati rubati. Se già questo è già grave, la parte peggiore è stata che quei dati non sono stati solo pubblicati, ma per la prima volta, messi in vendita nel dark web.
Ad ora solo pochissimi e secondari ransomware avevano osato tanto, ma Sodinokibi è uno tra i principali attori ransomware, protagonista di attacchi contro ospedali, scuole, università, enti pubblici e aziende. Il link ai dati della Brooks International è attualmente in vendita alla irrisoria cifra di 2 euro (8 crediti). Non occorre quindi essere un grande gruppo di cyber criminali che può permettersi anche centinaia di migliaia di dollari di investimenti per trovare nuovi dati, credenziali, infrastrutture di attacco. Con un prezzo tale, chiunque può accedere a quei dati, che contengono , tra l'altro, anche username e password, riferimenti di carte di credito ecc ecc...
Nessun commento:
Posta un commento