Moneybird ransomware
Il gruppo di hacker iraniani Agrius, noto anche come Pink Sandstorm e precedentemente Americium, ha recentemente sviluppato un nuovo ceppo di ransomware chiamato Moneybird. Questo malware minaccioso è stato osservato mirare specificamente alle organizzazioni israeliane, il che significa un cambiamento significativo nelle tattiche di Agrius.
Sommario
I criminali informatici espandono il loro arsenale minaccioso
Agrius ha una storia di attacchi distruttivi di cancellazione dei dati contro entità israeliane, spesso mascherandoli come incidenti ransomware. L'emergere di Moneybird, codificato in C++, mette in mostra la crescente esperienza del gruppo e il costante impegno nella creazione di nuovi strumenti informatici.
Le attività del gruppo possono essere fatte risalire almeno al dicembre 2020, quando Agrius è stato coinvolto nell'interruzione dei tentativi di intrusione contro le industrie dei diamanti in Sud Africa, Israele e Hong Kong. In precedenza, Agrius utilizzava un tergicristallo trasformato in ransomware chiamato Apostle, basato sul framework .NET, e il suo successore denominato Fantasy. Tuttavia, Moneybird rappresenta un progresso significativo per il gruppo, in quanto mette in mostra le sue capacità informatiche in evoluzione attraverso il suo linguaggio di programmazione C++.
Gli attori della minaccia sfruttano le vulnerabilità della sicurezza per ottenere l'accesso
La metodologia di attacco utilizzata da Moneybird Ransomware dimostra un alto livello di sofisticazione, a partire dallo sfruttamento delle vulnerabilità presenti nei server Web rivolti a Internet. Questo sfruttamento iniziale garantisce agli aggressori un punto di ingresso cruciale nella rete dell'organizzazione presa di mira, facilitato dall'implementazione di una shell Web ASPXSpy.
Una volta all'interno della rete compromessa, la shell Web funge da canale di comunicazione per consentire agli aggressori di eseguire una gamma di strumenti ben noti specificamente progettati per condurre un'estesa ricognizione dell'ambiente della vittima. Questi strumenti consentono agli aggressori di spostarsi lateralmente all'interno della rete, raccogliere credenziali preziose ed esfiltrare dati sensibili.
Moneybird Ransomware è dotato di funzionalità di crittografia avanzate
Dopo la fase iniziale di infiltrazione e ricognizione, Moneybird Ransomware viene attivato sull'host compromesso. Questo ransomware è progettato con un focus specifico sulla crittografia dei file sensibili che si trovano all'interno della cartella "F:\User Shares". Dopo l'esecuzione, il ransomware distribuisce una richiesta di riscatto, esercitando un'enorme pressione sulle vittime affinché stabiliscano un contatto entro un periodo di 24 ore, avvertendole della potenziale fuga pubblica dei loro dati rubati.
Moneybird Ransomware utilizza una metodologia di crittografia altamente sofisticata, utilizzando AES-256 con GCM (Galois/Counter Mode). Questa tecnica di crittografia avanzata genera chiavi di crittografia univoche per ogni file e aggiunge metadati crittografati alla fine. Il targeting di precisione e la solida crittografia implementata da Moneybird rendono il compito di ripristino dei dati e decrittografia dei file estremamente impegnativo, se non quasi impossibile, nella maggior parte dei casi.
Importanti misure di sicurezza per fermare un attacco ransomware
È possibile implementare misure di sicurezza efficaci per salvaguardare dispositivi e dati dagli attacchi ransomware. In primo luogo, è essenziale mantenere un software di sicurezza aggiornato e robusto. L'aggiornamento regolare dei programmi anti-malware, insieme all'abilitazione degli aggiornamenti automatici, aiuta a proteggere dalle minacce più recenti.
L'implementazione di password complesse e univoche per tutti gli account è un altro passaggio cruciale. Ciò comprende l'utilizzo di una combinazione di lettere, numeri e simboli, nonché l'evitare password comuni e facilmente indovinabili. Inoltre, l'abilitazione dell'autenticazione a più fattori aggiunge un ulteriore livello di sicurezza richiedendo ulteriori passaggi di verifica per accedere agli account.
Eseguire regolarmente il backup dei dati rilevanti è fondamentale per mitigare l'impatto di un attacco ransomware. La creazione di backup offline o l'utilizzo di soluzioni di archiviazione cloud garantisce che i file critici possano essere recuperati in caso di crittografia o perdita.
Essere cauti durante la navigazione in Internet e l'interazione con le e-mail è essenziale. Gli utenti dovrebbero essere scettici quando fanno clic su collegamenti sospetti o scaricano file da fonti non attendibili. È fondamentale essere vigili ed evitare di visitare siti Web potenzialmente dannosi o interagire con e-mail sospette, poiché potrebbero contenere payload di ransomware.
Educare se stessi e rimanere informati sulle ultime minacce alla sicurezza informatica e sulle tecniche di attacco è estremamente vantaggioso. Riconoscere le comuni tattiche di ingegneria sociale utilizzate negli attacchi di phishing ed essere consapevoli dei segnali di una potenziale infezione da ransomware può aiutare gli utenti ad adottare misure proattive per prevenire e rispondere a tali attacchi.
L'aggiornamento regolare di sistemi operativi, applicazioni e firmware è un altro aspetto fondamentale per mantenere una sicurezza elevata. Le patch e gli aggiornamenti spesso includono correzioni di sicurezza che risolvono le vulnerabilità che potrebbero essere sfruttate da ransomware e altri malware.
Eseguendo una combinazione di queste misure di sicurezza, gli utenti possono migliorare la protezione dei propri dispositivi e dati dall'impatto devastante degli attacchi ransomware.
