Industrial Spy nasce come marketplace dove comprare dati rubati. Da qualche settimana è però diventata anche una operazione ransomware che ha già colpito utenti italiani.
Abbiamo ricevuto richieste di assistenza da parte di utenti italiani per la risoluzione dell'infezione ransomware Industrial Spy. Con i nostri partner tecnologici stiamo analizzando l'infezione: ad ora questa non ha soluzione, quindi ci limitiamo a fornire una prima analisi tecnica e qualche misura di mitigazione.
Industrial Spy: dal marketplace al ransomware
Nell'Aprile di quest'anno un gruppo di cyber attaccanti ha lanciato un nuovo marketplace di dati rubati. Vi si trovano in vendita i dati rubati da aziende e organizzazioni, ma i gestori offrono anche dataset gratuiti agli affiliati. La particolarità di Industrial Spy è che si promuove come un marketplace nel quale le aziende possono acquistare i dati della concorrenza, ottenendo l'accesso a segreti commerciali, report, database dei clienti, progetti, diagrammi di produzione ecc...
Dall'altro lato, il marketplace era già usato come metodo di estorsione verso le vittime "bucate" dagli attaccanti: in pratica le aziende attaccate vengono minacciate di pubblicazione dei dati rubati proprio in questo marketplace. Un pagamento in criptovalute scongiurerebbe la pubblicazione di dati critici. In pratica lo stesso identico meccanismo utilizzato dalle campagne ransomware che, come secondo o terzo livello di estorsione oltre alla criptazione dei dati, usano proprio la minaccia di pubblicazione dei dati rubati. Non solo: tra i dati in vendita se ne trovano alcuni provenienti proprio da aziende già in passato vittime di operazioni ransomware.
Insomma il marketplace Industrial Spy aveva già un piede nel mondo dei ransomware e ora ha deciso di entrarci "mettendosi in proprio".
Ransomware Industrial Spy: cosa sappiamo per adesso?
L'operazione ransomware Industrial Spy è stata lanciata alla fine di Maggio 2022. Per la precisione prima va detto che Industrial Spy aveva lanciato una operazione malware: per promuovere i propri servizi infatti aveva stabilito una serie di collaborazioni con creastori di siti fake e adware per distribuire un malware che creava, sui dispositivi infetti, un file README.txt. Nel file di testo erano presentati i servizi del malrketplace, le modalità di vendita dei dataset, i dati in vendita (compresi segreti politici e militari) ecc...
La precedente versione del file README.txt |
Poco dopo è stato individuato in uso in attacchi reali il ransomware Industrial Spy. La nota di riscatto è una evoluzione del file README.txt e qui gli attaccanti dichiarano apertamente che i file non solo vengono rubati, ma anche criptati.
Industrial Spy in effetti cripta i dati, anche se non ne modifica il nome né aggiunge una estensione di criptazione specifica. Il tratto disitintivo di questo ransomware quindi, oltre alla nota di riscatto, è il marker 0xFEEDBEEF, mai visto prima in una famiglia ransomware (per i più smanettoni è utile sottolineare che questo marker non va confuso con 0xDEADBEEF, che invece è un valore di debug molto usato in programmazione).
Quel che ad ora si sa è che questo ransomware usa la crioptazione DES mentre la chiave è criptata usando una chiave pubblica RSA1024. La nota di riscatto viene creata in ogni cartella contenente file criptati.
Tre le varie funzionalità, questo ransomware ha quella di cancellare le copie shadow di file, così da impedire il ripristino dei dati nel caso in cui la vittima non disponga di un backup.
Proteggersi dai ransonmware: step basilari
Premettendo che la sicurezza informatica al 100% non esiste e che gli strumenti, le soluzioni e la postura difensiva variano da azienda ad azienda, da rete a rete, i punti sottostanti sono il minimo indispensabile per raggiungere un livello accettabile di sicurezza informatica.
- Predisponi un piano di backup:
è fondamentale dotarsi di soluzioni di backup e di organizzarsi per eseguire backup di tutti i dati a cadenza regolare. I backup stessi andranno testati regolarmente, per verificare che i dati siano integri. Disporre di backup integri e il più recenti possibile consente di minimizzare la perdita dei dati e accelerare i processi di rispristino. E' fondamentale isolare dalla rete i backup critici per evitare che, in caso di attacco ransomware, finiscano criptati anche i backup. A tale scopo, ti consigliamo di valutare la nostra soluzione Strongbox Cloud PRO, appositamente pensata per le PMI. - Mantieni sempre aggiornato il sistema operativo, i software e gli applicativi in uso:
le vulnerabilità sono le porte di accesso che consentono agli attaccanti di accedere alle reti. Verifica che questi software siano sempre aggiornati all'ultima versione disponibile ed installa le patch consigliate dal vendor. La suite di soluzioni di sicurezza aziendali Seqrite ha funzionalità specifiche a tale scopo: dalla gestione centralizzata delle patch alla scansione delle vulnerabilità. - Scegli una solida soluzione antivirus e mantienila sempre aggiornata:
sempre più soluzioni antivirus si sono dotate di strumenti specifici per il contrasto agli attacchi ransomware. Scopri di più sulla funzionalità antiransomware di Quick Heal / Seqrite, tecnologia brevettata negli Stati Uniti. - Adotta l'approccio zero trust:
applica il principio del "privilegio minimo" per tutti gli utenti: imposta cioè, utente per utente, solo le permissioni che gli sono effettivamente necessarie per svolgere le proprie mansioni. Fai si che ogni utente possa accedere soltanto alle informazioni che gli sono indispensabili.
Per approfondire > Approccio di cybersecurity Zero Trust: perchè, come e quanto è importante per le aziende con forza lavoro remota - Evita di scaricare file o cliccare su link contenuti nelle email:
spesso l'accesso alle reti da parte degli attaccanti non avviene tramite sofisticate tecniche di attacco, ma anzi l'attaccante fa breccia nel punto più debole della catena della cyber sicurezza: l'utente. E' fondamentale non fare click su link né scaricare allegati contenuti in email inaspettate, sospette, improvvise. Infine non abilitare mai le macro contenute nei documenti circolanti via email, a meno che non ci sia l'assoluta certezza della legittimità della comunicazione.
Per Approfondire > Attacchi basati sulle macro di Office: come funzionano? Breve vademecum - Forma i dipendenti, i collaboratori e chiunque acceda alla rete:
come detto, l'anello debole della catena di cyber sicurezza e sicurezza dei dati è l'utente. Forma dipendenti e collaboratori, rendili partecipi dei protocolli di sicurezza e consapevoli e sensibili rispetto ai rischi, almeno quelli più diffusi. Stabilisci un protocollo di reazione in caso di incidente informatico, così che tutti sappiano cosa fare in caso dovesse verificarsi un attacco ransomware. - Non
esporre mai direttamente in internet le connessioni Remote Desktop
Protocol. Se proprio hai necessità di usare l'RDP, fallo sempre tramite
una VPN.
- Implementa un modello di sicurezza stratificato (multi livello)
nella scelta di un approccio stratificato alla sicurezza, consigliamo di valutare attentamente:
> sicurezza delle reti e dei server;
> gestione degli endpoint;
> gestione dei dispositivi mobile.
Per approfondire > Implementa un modello di sicurezza stratificato con Seqrite! - Implementa sistemi di protezione preventiva:
come l'Intrusion Prevention Sistem (IPS) e il Web Application Firewall. Saranno utili protezioni perimetrali, se posti a difesa dei servizi esposti su Internet.
Nessun commento:
Posta un commento