Computer Security Gli account Admin dirottati presentano attacchi...

Gli account Admin dirottati presentano attacchi Ransomware personalizzati

account admin ransomware dirottato Un attacco ransomware che chiama la vittima designata con il suo nome ha colpito un azienda manifatturiera, come riportato dai ricercatori di TrendMicro. Presumibilmente effettuate nelle ore tarde del 18 febbraio, gli attori incaricati hanno dirottato un account utente amministrativo, piantando una variante del ransomware BitPaymer utilizzando lo strumento da riga di comando PsExec. Inoltre, hanno fatto in modo di mettere il nome del organizzazione colpita nella stessa richiesta di riscatto, abbinando perfettamente attacco di iEncrypt ransomware alla società Arizona Beverage al inizio di questo mese. Simile a BitPaymer , iEncrypt ha anche mostrato il nome della vittima nella nota di riscatto, il che implica che le due minacce potrebbero avere una connessione.

attacco è riuscito grazie a una precedente infezione Dridex

Secondo il team di sicurezza di TrendMicro, infezione del 18 febbraio ha avuto esito positivo dopo che gli hacker in carica avevano fatto una serie di tentativi falliti di distribuire in remoto agente post-exploitation di Empire PowerShell su macchine a livello di amministratore a target casuale. Tuttavia, quel successo era probabilmente dovuto a una precedente infezione da Dridex che non solo si era verificata in anticipo, ma era passata inosservata dalla società.

Oltre al caso Arizona Beverage e alcuni attacchi contro diverse aziende alla fine del 2018, questa è ultima occasione in cui i criminali informatici indirizzano la vittima per nome proprio nel testo della richiesta di riscatto. Inoltre, il nome delazienda ha funzionato anche come un estensione di file aggiunta a tutti i dati crittografati. Ciò che la nota dice, però, è evidente dal testo qui sotto:

Ciao [nome della vittima]

La tua rete è stata compromessa e crittografata. Nessun software di decrittografia gratuito è disponibile sul web. Inviaci un email a [caratteri illeggibili] @ protonmail.com (o) [caratteri illeggibili] @ india.com per ottenere importo del riscatto. Mantieni i nostri contatti al sicuro. La divulgazione può portare al impossibilità di decifrare. Per favore, usa il nome della tua società come oggetto del email. CODA: [caratteri casuali] TASTO: [caratteri casuali]

La nota di riscatto contiene non solo il nome della vittima ma anche la chiave di crittografia. Poiché quest ultimo è un prerequisito per una decifrazione efficace.

Salva per nome ed estensione, il codice rimane lo stesso

Come accennato in precedenza, questa non è la prima volta che i ricercatori di sicurezza si imbattono in un infezione da ransomware BitPaymer. Né il nuovo caso presenta una variante BitPaymer nuova di zecca. Uno sguardo più attento al codice non rivela differenze significative rispetto agli attacchi dello scorso anno. unica variabile sembra essere il nome del organizzazione colpita nella nota di riscatto. A differenza delle precedenti infezioni BitPaymer che hanno aggiunto estensione ".locked" ai dati crittografati, la più recente dal 18 febbraio 2019 ha invece utilizzato il nome della vittima.

attacco ransomware BitPaymer sottolinea la necessità di meccanismi di protezione potenziati quando si tratta di strumenti sysadmin poiché sono costantemente soggetti a tentativi di sfruttamento. Inoltre, esecuzione di un servizio di monitoraggio attivo insieme a una soluzione anti-malware non guasterebbe.

Caricamento in corso...