Il CERT (Computer Emergency Response Team) francese, organizzazione che si occupa di raccogliere le segnalazioni di incidenti informatici e potenziali vulnerabilità nei software, ha diramato un’allerta, segnalando che alcuni cybercriminali stanno prendendo di mira le reti delle amministrazioni locali.
Si segnalano una serie di crescenti attacchi portati a termine sfruttando una nuova versione del ransomware noto come “Mespinoza” o “Pysa“.
Questo ransomware è già stato segnalato lo scorso anno; sulle macchine prese di mira i dati vengono cifrati aggiungendo l’estensione .locked alla fine dei file.
Una nuova versione di Mespinoza ha cominciato a circolare a dicembre 2019; questa variante sfrutta l’estensione .pysa sui file cifrati, da qui il perché il ransomware è chiamato in due modi diversi.
Le precedenti versioni di Mespinoza/Pysa prendevano di mira aziende, allo scopo di chiedere riscatti per sbloccare i file di grandi reti aziendali; ora il CERT francese riferisce che i cybercriminali che hanno creato Pysa hanno preso di mira organizzazioni francesi, segnalando diversi casi di “infezioni”.
Il CERT sta indagando per capire in che modo i cybercriminali riescono a infiltrarsi nelle reti-target e tra le ipotesi al vaglio attacchi “brute force” (innumerevoli tentativi con tutte le possibili combinazioni di lettere, caratteri speciali e numeri) per individuare password e accedere alle console di gestire e agli account Active Directory. Dopo gli attacchi brute force, segue l’esfiltrazione dei database con accounts e password.
Le organizzazioni oggetto di questi attacchi segnalano tentativi di connessioni usando RDP (Remote Desktop Protocol) al controller di dominio (il server che, attraverso Active Directory, gestisce le richieste di autenticazione per la sicurezza) e il dispiegamento di script Batch e PowerShell.
I cybercriminali che hanno sviluppato Pysa sfruttano anche una versione di PowerShell Empire – un tool di penetration-test – per bloccare vari prodotti antivirus e in alcuni disinstallare anche Windows Defender. CERT-FR riferisce che nell’ultimo caso che ha avuto modo di esaminare, ha individuato una nuova variante di del ransomware Pysa e questa usa l’estensione .newversion per cifrare i file.
I file cifrati sono stati analizzati per capire l’algoritmo usato ma non è stato individuata l’implementazione sfruttata e falle che potrebbero consentire il ripristino dei file bloccati dal ransomware. Si è capitato soltanto che il codice del malware è breve e scritto sfruttando librerie Python.
Gli attacchi con questo tipo di ransomware non sono limitati alla Francia. ZDNet ha parlato con Michael Gillespie di Emsisoft, esperto in analisi di malware, e questo ha riferito che questi attacchi sono stati segnalati in diversi continenti.
Mespinoza/Pysa è solo l’ultimo di una serie di ransomware che da tempo prendono di mira anche singoli utenti. L’ultima tendenza dei criminali è quella di pubblicare i dati delle aziende che si sono rifiutate di pagare il riscatto richiesto. È successo anche con dati particolarmente sensibili come quelli di laboratori di analisi e altri ancora. Alcuni attacchi ransomware hanno costretto alla chiusura di alcuni ospedali, sia negli Stati Uniti, sia in Australia.
Per proteggersi da questi attacchi è fondamentale incrementare la conoscenza e la consapevolezza del personale su questioni di sicurezza informatica, aggiornare tempestivamente i sistemi operativi e il software (che vulnerabilità potrebbero essere sfruttate per consentire l’accesso non autorizzato e il controllo del sistema). I backup potrebbero servire a poco se le macchine o i dispositivi di rete sulle quali si effettuano le copie non sono isolate dal resto della rete. Sono stati creati ransomware che attaccano anche NAS e dispositivi di backup.
Per tutte le notizie sulla sicurezza informatica vi rimandiamo a questa sezione di macitynet.