Ransomware Mortar
Il malware continua a rappresentare una delle minacce informatiche più significative per organizzazioni e singoli individui. I moderni attacchi ransomware possono interrompere le attività aziendali, causare gravi perdite finanziarie e compromettere informazioni sensibili nel giro di poche ore. Poiché i gruppi che operano con i ransomware diventano sempre più sofisticati, mantenere solidi controlli di sicurezza e difese proattive è essenziale per proteggere i dati preziosi e garantire la continuità operativa.
Sommario
Panoramica sul ransomware Mortar
Mortar Ransomware è un ceppo di malware che crittografa i file, identificato dai ricercatori di sicurezza informatica. La minaccia è progettata principalmente per colpire gli ambienti aziendali, dove gli aggressori cercano di massimizzare l'interruzione delle attività operative e aumentare la pressione sulle vittime affinché paghino un riscatto. Una volta installato all'interno di una rete compromessa, Mortar crittografa i file e lascia una nota di riscatto denominata in base all'identificativo univoco della vittima, seguendo il formato 'README-[ID della vittima].txt'.
Una caratteristica distintiva di questo ransomware è la sua capacità di rinominare i file. Durante la crittografia, Mortar aggiunge un ID univoco della vittima a ogni file infetto. Ad esempio, un file originariamente chiamato "1.png" potrebbe diventare "1.png.4RcrXfvVksS5ACA", mentre un documento come "2.pdf" potrebbe essere trasformato in "2.pdf.4RcrXfvVksS5ACA". Lo stesso identificativo viene poi utilizzato nel nome del file della richiesta di riscatto, creando un'associazione diretta tra la vittima e l'attacco.
Processo di crittografia e richieste di riscatto
Dopo essersi infiltrato in una rete, Mortar crittografa un'ampia gamma di dati, inclusi documenti, database, fotografie e altri file aziendali di valore. La richiesta di riscatto afferma che gli aggressori hanno utilizzato gli algoritmi di crittografia AES-256 e RSA-2048 per bloccare le informazioni della vittima. Sebbene tali affermazioni siano comuni tra gli operatori di ransomware, l'obiettivo generale rimane lo stesso: rendere i dati inaccessibili senza la corrispondente chiave di decrittazione.
La richiesta di riscatto informa le vittime che l'unico modo per recuperare i propri file è acquistare uno strumento di decrittazione dagli aggressori. Invece di specificare un importo fisso, i criminali indirizzano le vittime a un portale basato su Tor e forniscono le credenziali di accesso, costituite da nome utente e password. Questo approccio consente agli aggressori di negoziare i pagamenti individualmente e potenzialmente di adeguare le richieste di riscatto in base al valore percepito dell'organizzazione vittima.
È possibile recuperare i file crittografati?
Il recupero dei file crittografati da ransomware è spesso estremamente difficile senza accesso al meccanismo di decrittazione degli aggressori. In rari casi, i ricercatori di sicurezza informatica scoprono errori di implementazione o vulnerabilità crittografiche che consentono la creazione di decrittatori gratuiti. Tuttavia, tali casi sono rari e le vittime di ransomware ben progettati si trovano spesso ad affrontare opzioni di recupero limitate.
Pagare il riscatto è generalmente considerata una decisione ad alto rischio. I criminali informatici non sono obbligati a fornire uno strumento di decrittazione funzionante dopo aver ricevuto il pagamento. Molte vittime si sono trovate in situazioni in cui i fondi sono stati trasferiti, ma gli strumenti di recupero non sono mai stati consegnati, oppure gli strumenti forniti non sono riusciti a ripristinare i dati con successo. Di conseguenza, il pagamento potrebbe comportare ulteriori perdite finanziarie senza garantire il recupero dei file.
Vettori di infezione e tecniche di attacco
Mortar può raggiungere le vittime attraverso diversi metodi di attacco comunemente utilizzati nelle campagne ransomware. Il phishing rimane uno dei vettori di infezione più diffusi. Gli aggressori distribuiscono e-mail contenenti allegati dannosi come archivi compressi, file eseguibili o documenti di Microsoft Office con macro malevole incorporate. Una volta aperti, questi file possono avviare il processo di installazione del ransomware.
Ulteriori vie di infezione includono software infettati da trojan, falsi meccanismi di aggiornamento, campagne pubblicitarie dannose, portali di download inaffidabili e applicazioni pirata distribuite tramite canali non ufficiali. Questi metodi sfruttano la fiducia degli utenti e i controlli di sicurezza inadeguati per ottenere l'accesso ai sistemi.
Nelle intrusioni aziendali mirate, gli autori delle minacce possono adottare tecniche più avanzate. Spesso tentano di compromettere i servizi Remote Desktop Protocol (RDP) tramite attacchi di forza bruta contro credenziali deboli. Possono anche sfruttare vulnerabilità non corrette nei sistemi esposti a Internet per ottenere un punto d'appoggio iniziale prima di spostarsi lateralmente nella rete e distribuire ransomware su più dispositivi contemporaneamente.
Intervento in caso di infezione da malta
Una volta rilevato Mortar, è fondamentale contenerlo immediatamente. La rimozione del ransomware dai sistemi infetti contribuisce a prevenire ulteriori attività di crittografia e riduce il rischio di danni aggiuntivi all'intero ambiente. Tuttavia, la rimozione del malware non deve essere confusa con il recupero dei dati. L'eliminazione del programma dannoso non ripristina automaticamente i file crittografati.
Il metodo di ripristino più affidabile rimane il ripristino di backup integri creati prima dell'attacco. I backup devono essere archiviati separatamente dai sistemi di produzione per impedire al ransomware di crittografare i repository di backup durante un incidente. Le organizzazioni che mantengono backup sicuri e isolati sono in genere in una posizione molto più vantaggiosa per riprendersi dagli attacchi ransomware senza dover ricorrere ai criminali informatici.
Costruire solide difese contro il ransomware
Una protezione efficace contro i ransomware richiede una strategia di sicurezza a più livelli che combini tecnologia, sensibilizzazione degli utenti e manutenzione proattiva. Le organizzazioni dovrebbero aggiornare regolarmente sistemi operativi, applicazioni e dispositivi di rete per eliminare le vulnerabilità comunemente sfruttate dagli aggressori. Politiche di autenticazione rigorose, in particolare per i servizi di accesso remoto, possono ridurre significativamente il rischio di accessi non autorizzati.
Altrettanto importante è lo sviluppo di una solida strategia di backup. I dati critici devono essere copiati in più posizioni, inclusi supporti di archiviazione offline o disconnessi, inaccessibili dai sistemi compromessi. L'esecuzione regolare di test di backup garantisce il corretto funzionamento delle procedure di ripristino in caso di emergenza.
Le principali pratiche di sicurezza includono:
- È fondamentale effettuare backup frequenti, archiviati in posizioni separate e protette.
- Applicare gli aggiornamenti e le patch di sicurezza non appena disponibili.
- Utilizzare password complesse e univoche e abilitare l'autenticazione a più fattori.
- Limitare i servizi di accesso remoto non necessari e monitorare i tentativi di accesso.
- Formare i dipendenti a riconoscere le email di phishing e gli allegati sospetti.
- Implementazione di soluzioni affidabili per la protezione degli endpoint e il monitoraggio della rete.
Le organizzazioni dovrebbero inoltre adottare il principio del minimo privilegio, concedendo agli utenti solo l'accesso necessario per lo svolgimento delle loro mansioni. Il monitoraggio continuo, gli audit di sicurezza e la pianificazione della risposta agli incidenti rafforzano ulteriormente la resilienza contro le campagne ransomware come Mortar. Una combinazione di controlli preventivi, capacità di rilevamento rapido e sistemi di backup affidabili rimane la difesa più efficace contro le moderne minacce di crittografia dei file.
Conclusione
Il ransomware Mortar rappresenta una seria minaccia per le reti aziendali a causa della sua capacità di crittografare dati preziosi, interrompere le operazioni e costringere le vittime a pagare per la decrittazione. Aggiungendo identificativi univoci ai file crittografati e indirizzando le vittime a un portale di riscatto dedicato, gli aggressori dimostrano un approccio strutturato e mirato. Sebbene il recupero dei file crittografati possa essere complesso, le organizzazioni che danno priorità a solide pratiche di sicurezza informatica, mantengono backup isolati e affrontano proattivamente le vulnerabilità possono ridurre significativamente l'impatto degli attacchi ransomware e migliorare la propria postura di sicurezza complessiva.
System Messages
The following system messages may be associated with Ransomware Mortar:
-------------------------------------------- |
