Ecco come DoppelPaymer ha migliorato le capacità di diffusione del classico ransomware.
Mentre la pandemia continua in tutto il mondo, gli autori di malware ne stanno sfruttando l’importanza e la utilizzano a proprio vantaggio. Il Covid-19 e tutto ciò che vi gravita intorno vengono costantemente utilizzati come esche per il phishing, mascherati da app fasulle e in molte altre varianti di malware. Proprio in quest’ultimo periodo è comparso un nuovo ransomware chiamato DoppelPaymer (DP) che utilizza le righe dell’oggetto delle e-mail a tema virus per attirare le vittime. Grazie a questa tecnica ha già superato in termini di distribuzione i numeri ottenuti in tre anni dal suo progenitore, BitPaymer, scoperto molto prima.
Le truffe relative a Covid-19 sono sicuramente proliferate e ne abbiamo già scritto in precedenza.
Dove si inserisce DP in questo schema? Diamo uno sguardo più da vicino.
Uno dei motivi per cui il malware e le truffe di phishing hanno così tanto successo è che seguono le storie più importanti. Se da un lato il Covid-19 continua ad essere al centro delle notizie di cronaca, dall’altro non è l’unico argomento. Dato tutto l’interesse per la ripresa delle missioni spaziali con equipaggio lanciate dagli Stati Uniti dalla NASA, non sorprende che i criminali abbiano approfittato per diffondere un ransomware che sfrutta tutti i temi legati alla NASA. All’inizio di questa estate, il ransomware basato su DP ha preso di mira un appaltatore della NASA. L’attacco è riuscito a sottrarre una serie di documenti (che sono stati poi pubblicati online), inclusi piani relativi alle risorse umane e progetti che facevano trapelare i dettagli dei dipendenti. Questa esca phishing includeva le congratulazioni per i successi di SpaceX ed è stata indirizzata agli appaltatori della NASA e ha permesso di divulgare dati raccolti da oltre 2.500 computer online.
Ciò che rende DP più dannoso del ransomware medio sono le sue diverse caratteristiche distintive. In primo luogo, i suoi autori pubblicano online i propri successi, il che ha il doppio intento di mettere in imbarazzo le vittime e rendere più facile per la stampa verificare la violazione. Il gruppo ha il proprio account Twitter, ad esempio.
È possibile visualizzare collegamenti a varie violazioni a questo indirizzo, incluso un attacco di marzo alla rete governativa di Torrance, in California, che è stata colpita da un attacco ransomware. Più di 200 GB di dati sono stati rubati e i backup della città sono stati cancellati e quindi crittografati, coinvolgendo 150 server e 500 endpoint. Gli attacchi precedenti ne includono uno a gennaio contro una società di servizi finanziari con sede negli Stati Uniti per un riscatto di circa $150.000, un successivo ai danni di una società di telecomunicazioni francese basata su cloud con un riscatto equivalente a $330.000 e un altro attacco del novembre 2019 alla compagnia petrolifera statale messicana, Pemex.
In secondo luogo, DP ha migliorato le classiche strategie di diffusione dei ransomware diversificando i suoi metodi di distribuzione. Hanno avuto il “merito” di introdurre un modello di affiliazione, pagando degli specialisti nella ricerca di metodi particolari di distribuzione dei malware. Oltre a utilizzare le succitate esche phishing (come accennato in precedenza), cercano anche delle configurazioni desktop remote non sicure, come fanno anche molti altri criminali. Ma usano anche altri metodi per convincere le vittime a scaricare il loro malware, tra cui:
Botnet
Exploit
Annunci pericolosi
Web Injection
Falsi Aggiornamenti
Installatori infetti
Come proteggersi?
Come con qualsiasi altro ransomware, assicurarsi che i backup possano essere ripristinati e conservati separatamente dagli endpoint. Mantenere aggiornati gli endpoint con le ultime patch e dividere correttamente la rete. Dedicare del tempo alla formazione degli utenti finali con particolare attenzione alle varie esche phishing. Infine, sui server di posta elettronica dovrebbe essere presente una protezione anti-malware per impedire la diffusione delle infezioni.
Lascia un commento