Ransomware scatenati, ransomware ovunque, ransomware che alzano sempre più il tiro: le ultime due settimane sono state costellate di attacchi ransomware di peso. Forse troppo, a giudicare dalla vicenda di Darkside.
Darkside l'ha fatta troppo grossa: operazioni interrotte, infrastruttura down dopo operazione delle forze dell'ordine
Del ransomware Darkside abbiamo parlato qualche giorno fa, quando si è reso protagonista dell'attacco ad una delle più importanti infrastrutture degli Stati Uniti: parliamo dell'oleodotto Colonial Pipe. Il Colonial Pipeline trasporta i prodotti di raffinazione del petrolio per tutti gli Stati Uniti meridionali e orientali: la compagnia traporta circa 2.5 milioni di barili al giorno lungo 5.500 miglia di infrastrutture e fornisce circa il 45% di tutto il carburante usato nella East Coast. L'attacco ransomware lo ha paralizzato, costringendo il presidente Joe Biden a dichiarare lo stato di emergenza e attuare una serie di misure volte ad evitare la mancanza di carburante in una parte estesa del paese. L'azienda ha deciso subito di pagare il riscatto, ma il governo statunitense ha scatenato una vera e propria caccia all'uomo in cerca dei responsabili.
A rivelare notizie interessanti sul fatto è stato UNKN, uno dei portavoce della gang ransomware rivale di Darkside, ovvero Revil. UNKN ha fatto sapere che gli sviluppatori di Darkside hanno completamente perso l'accesso alla parte pubblica della loro infrastruttura: in dettaglio non possono più accedere al blog, ai server DOS, al server di pagamento a seguito di un attacco sferrato contro la loro infrastruttura dalle forze dell'ordine statunitensi. Agli operatori di Darkside non è rimasto altro da fare che sospendere le attività e interrompere il programma di affiliazione. L'evento ha così allarmato i gestori dicampagne ransomware da aver indotto la gang di Revil, che ricordiamo è attualmente la minaccia ransomware più attiva e pericolosa, a definire nuove modalità di azione: gli affiliati al ransomware Revil non potranno più attaccare soggetti attivi nel settore sociale (sanità e istruzione in dettaglio) ed enti governativi. Inoltre gli affiliati dovranno concordare con i gestori i futuri attacchi, onde evitare la trasgressione a questi nuovi vincoli: la paura fa 90, vien da dire!
 |
| Fonte: Dmitry Smilyanet |
La notizia arriva il giorno dopo una importante dichiarazione di Biden il quale, in conferenza stampa, ha annunciato che gli Stati Uniti si attiveranno in ogni forma possibile per garantire che quei paesi che ospitano infrastrutture ransomware agiscano per chiuderle. Sul caso Darkside, sospettato di avere origine russe, gli Stati Uniti hanno agito in comunicazione diretta con Mosca: segno che ormai per i ransomware sarà tolleranza zero.
Torna il ransomware Conti: in tilt il sistema sanitario irlandese
Il servizio sanitario pubblico irlandese, HSE, ha fatto sapere pubblicamente di aver rifiutato di pagare 20 milioni di dollari di riscatto: l'estorsione segue l'attacco da parte del ransomware Conti che ha portato alla criptazione dei computer e compromesso il funzionamento del sistema sanitario nel paese. L'HSE ha fatto sapere di aver subito l'attacco e arrestato tutti i propri sistemi IT nel pomeriggio di Venerdì.
"Abbiamo optato per lo shut down di tutti i sistemi in via precauzionale, per proteggerli dall'attacco e per permetterci di valutare appieno la situazione con i nostri partner di sicurezza" hanno dichiarato portavoce del sistema sanitario irlandese.
Gli effetti dell'attacco e la scelta di arrestare i sistemi IT hanno portato all'interruzione del servizio in tutto il paese, causando accessi limitati a record medici e dagnostici e rallentando la capacità di risposta del servizio sanitario e già si registrano disagi dovuti ad errate trascrizioni a causa del ritorno al sistema "carta e penna".
Una fonte anonima ha fatto trapelare una parte dei contatti, già avvenuti, tra i gestori del ransomware Conti e rappresentati dell'HSE: gli attaccanti dichiarano di aver rubato oltre 700GB di file in chiaro prima di procedere alla criptazione dei sistemi. Tra questi dati figurerebbero informazioni su pazienti e dipendenti, contratti, informazioni finanziarie e di fatturazione ecc... Dagli screenshot della chat si apprende anche l'ammontare del riscatto: l'HSE dovrebbe pagare 19.990.000 dollari Usa per ottenere il decryptor e assicurarsi la cancellazione dei dati rubati prima che questi vengano resi pubblici e messi in vendita nel dark web.
La richiesta di riscatto da parte degli attaccanti. Fonte: bleepingcomputer.com
Il Primo Ministro irlandese, Micheál Martin, ha dichiarato pubblicamente che lo stato non pagherà alcun riscatto.
Il ransomware Conti in breve
Il Ransomware Conti, sospettato di avere base in Russia, si diffonde tramite attacchi di phishing preventivi: l'attacco di phshing conduce all'installazione dei trojan TrickBot e/o BazarLoader, tramnite i quali gli attaccanti ottengono l'accesso remoto ai sistemi bersaglio. Tramite tale accesso remoto, gli attaccanti procedono a muoversi lateralmente lungo la rete, rubando credenziali ulteriori e raccogliendo tutti i dati non criptati presenti sulle workstation e i server collegati alla rete. Una volta rubati tutti i dati trovati e messo le mani sulle credenziali dei domini Windows, gli attaccanti si pongono in attesa una setttimana, quindi distribuiscono il ransomware nella rete procedendo alla criptazione di tutti i dati.
Come tutti i ransomware di nuova genereazione, anche Conti utilizza la tecnica del doppio riscatto: uno per ricevere il decryptor e uno per garantire la cancellazione dei dati rubati ed evitarne la pubblicazione e la messa in vendita nel dark web.
Per approfondire > Ransomware Conti: è arrivato il successore di Ryuk?
Nessun commento:
Posta un commento