Ransomware Zeo

Proteggere i sistemi personali e aziendali da malware distruttivi è essenziale, poiché una singola compromissione può avere conseguenze a lungo termine. Il ransomware rimane una delle minacce più dirompenti in circolazione e Zeo Ransomware è un esempio lampante del livello di sofisticazione raggiunto dalle moderne operazioni di estorsione.

Una nuova variante con radici familiari

Zeo è emerso durante il monitoraggio di routine delle minacce ed è stato rapidamente collegato alla famiglia di ransomware Dharma, ormai consolidata. Una volta violato un sistema, crittografa i dati e modifica i nomi dei file aggiungendo un ID specifico della vittima, l'indirizzo email degli aggressori e l'estensione ".zeo". Un esempio tipico è un file trasformato come "1.png.id-9ECFA84E.[nudasurg@tuta.io].zeo".

Dopo la fase di crittografia, Zeo invia due richieste di riscatto: una finestra pop-up contenente istruzioni dettagliate e un file di testo semplice denominato "info.txt". Entrambe sottolineano che l'unico modo per ripristinare l'accesso è contattare gli aggressori e pagare un riscatto in Bitcoin. Il messaggio pop-up cerca di creare fiducia offrendo un test di decrittazione gratuito e limitato, minacciando al contempo danni irreversibili se le vittime modificano i file o tentano un ripristino indipendente.

Come funziona Zeo sotto il cofano

Come altre varianti di Dharma, Zeo si concentra sulla crittografia dei dati archiviati sia localmente che in posizioni condivise in rete. La stabilità del sistema viene preservata, poiché Zeo evita la manomissione di componenti critici del sistema operativo. Per prevenire errori durante la crittografia, termina i processi legati ai file attualmente aperti, come i motori di database e i visualizzatori di documenti.

Il ransomware incorpora diverse misure di sicurezza comportamentali. Controlla i dati di geolocalizzazione raccolti per determinare se procedere con gli attacchi, evitando potenzialmente regioni che potrebbero essere non redditizie o politicamente sensibili. Include anche un meccanismo volto a impedire la doppia crittografia, sebbene la logica di esclusione sia incompleta e non tenga conto di tutte le famiglie di ransomware.

La persistenza viene ottenuta tramite due metodi principali: la copia di se stesso nella directory %LOCALAPPDATA% e la registrazione delle voci di avvio automatico sotto chiavi di esecuzione specifiche. Zeo cancella inoltre le copie shadow del volume per rimuovere le opzioni di ripristino integrate su cui gli utenti potrebbero altrimenti fare affidamento.

Vettori di infezione e tattiche di propagazione

Le minacce basate su Dharma si infiltrano spesso nei sistemi attraverso servizi Remote Desktop Protocol esposti o scarsamente protetti. Gli aggressori si affidano ad attacchi brute-force e a dizionario per ottenere l'accesso, e i firewall dei sistemi compromessi possono essere indeboliti o disattivati poco dopo l'intrusione.

Altri canali di distribuzione rimangono prevalenti. Gli autori delle minacce spesso si affidano a email ingannevoli, allegati dannosi, download compromessi, aggiornamenti fraudolenti, crack e contenuti piratati. I payload pericolosi si presentano in numerosi formati, tra cui archivi, file eseguibili, documenti, file JavaScript e altro ancora. In alcuni casi, il malware si diffonde lateralmente ad altri dispositivi sulla stessa rete o tramite dispositivi di archiviazione portatili.

Perché pagare il riscatto non è una soluzione sicura

Le vittime raramente dispongono dei mezzi tecnici per decifrare i file colpiti dai ransomware moderni. A meno che il malware non contenga una falla critica, solo gli operatori possiedono le chiavi necessarie. Tuttavia, pagare il riscatto non garantisce che gli aggressori forniscano un decifratore funzionante e le vittime spesso perdono sia denaro che dati. Il finanziamento di tali operazioni alimenta inoltre ulteriori attività criminali.

La rimozione del ransomware è necessaria per prevenire ulteriori danni, ma la rimozione di Zeo non ripristina i file crittografati. Il ripristino è possibile solo tramite backup puliti archiviati in posizioni separate, come dispositivi offline o server remoti sicuri.

Rafforzamento della sicurezza dei dispositivi

Un approccio a più livelli riduce drasticamente il rischio di compromissione da parte di ransomware. Le seguenti pratiche contribuiscono a rafforzare la resilienza a lungo termine:

Misure preventive fondamentali

Mantenere un controllo rigoroso sull'accesso al protocollo Remote Desktop Protocol utilizzando credenziali univoche e complesse, disabilitando l'accesso esterno quando non necessario e applicando la limitazione della velocità o l'autenticazione a più fattori.

Applicare tempestivamente gli aggiornamenti di sicurezza al sistema operativo, al software installato e ai componenti esposti alla rete.

Ulteriori raccomandazioni sulle migliori pratiche

Conserva backup affidabili e con versioni diverse in più posizioni isolate, tra cui storage offline o immutabili.

• Utilizza strumenti di sicurezza affidabili per monitorare le attività sospette e bloccare il malware prima dell'esecuzione.
• Accostatevi con scetticismo alle e-mail, agli allegati e alle offerte di download indesiderati, soprattutto a quelli che impersonano organizzazioni legittime o offrono software gratuito.
• Evita software pirata, portali di download inaffidabili e pubblicità dubbie basate sul browser.
• Limitare i privilegi amministrativi ove possibile e assicurarsi che le attività quotidiane vengano eseguite utilizzando account non amministrativi.

Combinando un'igiene di sistema disciplinata con controlli di accesso rigorosi e backup ben gestiti, gli utenti riducono significativamente la loro esposizione a minacce come Zeo Ransomware e sono meglio preparati a un rapido ripristino in caso di attacco.