Nell’ultimo mese, i ricercatori di Proofpoint, nostro partner strategico, hanno osservato un leggero aumento degli attacchi attraverso e-mail utilizzando il ransomware come payload di primo livello.
Ciò è notevole perché negli ultimi anni, gli aggressori hanno utilizzato i downloader come payload di primo livello, per poi fornire ransomware come payload nelle fasi successive. Un piccolo aumento della quantità di ransomware inviato come payload nella prima fase tramite campagne e-mail potrebbe annunciare il ritorno delle grandi campagne ransomware che abbiamo visto nel 2018.
Questi attacchi hanno caratterizzato molte famiglie diverse di ransomware e hanno preso di mira numerose industrie negli Stati Uniti, in Francia, Germania, Grecia e Italia. Spesso usando messaggi-esca in madrelingua. Le famiglie di ransomware che abbiamo visto come payload di primo livello includono tra l’altro:
- Avaddon (una nuova famiglia)
- Buran (chiamato così per lo Space Shuttle russo)
- Darkgate
- Philadelphia (simile a qualcosa visto in precedenza da Proofpoint nel 2017)
- Mr. Robot
- Ranion
Ognuna di queste famiglie di ransomware crittografa i file della vittima e li tiene in riscatto in attesa di un pagamento.
I volumi giornalieri possono variare da uno a ben 350.000 messaggi per ogni campagna. Oltre un milione di messaggi tra il 4 e il 10 giugno 2020 presentavano Avaddon. Abbiamo visto una varietà di temi in questi messaggi ransomware, inclusi alcuni che sfruttano il COVID-19. Numerosi settori sono stati presi di mira: istruzione e produzione seguiti da trasporti, intrattenimento, tecnologia, sanità e telecomunicazioni.
Di seguito sono riportati come esempio Avaddon, Mr. Robot e Philadelphia.
Avaddon
Avaddon è il ransomware più recente che ha preso di mira le organizzazioni statunitensi, degno di nota perché ha un proprio marchio e spesso fa parte di campagne su larga scala. Oltre un milione di messaggi con Avaddon come payload sono stati inviati dal 4 al 10 giugno 2020 e oltre 750.000 messaggi sono stati inviati solo il 6 giugno 2020. Queste campagne sono state principalmente inviate a organizzazioni di produzione, istruzione, media e intrattenimento. La campagna Avaddon del 4 giugno 2020 si è concentrata quasi esclusivamente su società di trasporti e distretti scolastici.
Avaddon è un esempio di “ransomware-as-a-service” (RaaS), in cui gli attori delle minacce pagano gli altri per l’uso del ransomware piuttosto che costruire il ransomware e l’infrastruttura stessi.
Gli oggetti dei messaggi di Avaddon presentavano frasi come:
- “Lo conosci?”
- “La nostra vecchia foto”
- “Foto per te”
- “Ti piace la mia foto?”
- “Sei tu?”
- “La tua nuova foto?”
- “Mi piace questa foto”
Se aperto, l’allegato incluso scarica Avaddon utilizzando PowerShell (un framework di automazione delle attività). Una volta eseguito Avaddon viene mostrato il messaggio di riscatto (riportato in Figura 1) e successivamente la richiesta di un pagamento di $ 800 in bitcoin tramite TOR. Gli aggressori Avaddon forniscono anche supporto e risorse 24 ore su 24, 7 giorni su 7, per l’acquisto di bitcoin e altri servizi.
Mr. Robot
Questo attacco ransomware di Mr. Robot ha utilizzato come esca il COVID-19 per convincere gli utenti a fare clic. Tra il 19 maggio e il 1 ° giugno 2020, una serie di campagne di Mr. Robot hanno preso di mira organizzazioni di intrattenimento, produzione e costruzione statunitensi.
Ai destinatari di queste campagne vengono inviati messaggi che provengono da “Departament (sic) of health”, “Departament (sic) of health & human services”, “Health Service” e “Health Care” con argomenti come:
- Your COVID19 results are ready / 85108
- Your COVID19 results are ready # 85513
- Your COVID_19 results # 99846
- View your COVID19 result # 99803
- Human immunodeficiency virus analysis # 93545
- COVID19 virus test result / 61043
- COVID19 virus result / 64745
- COVID19 virus analysis # 83273
- Check your COVID_19 test # 65619
- Your COVID_19 Results No 80420
Anche in questo caso, una volta fatto clic viene automaticamente scaricato il ransomware e richiesto un “riscatto”.
Philadelphia
Dopo una pausa di quasi tre anni, il ransomware Philadelphia è tornato con una campagna rivolta principalmente alle aziende manifatturiere e alimentari in Germania, in lingua tedesca.
Questi messaggi affermano di provenire dal “governo della Germania federale” e usano la bandiera e le insegne della Repubblica federale di Germania, insieme a un testo che afferma: “Die Entscheidung, Ihr Unternehmen aufgrund von Covid-19 zu schließen” (tradotto: “La decisione di chiudere la tua azienda a causa di Covid-19”). Il destinatario è incoraggiato a fare clic sul collegamento che installa Philadelphia come payload di primo livello e mostra un messaggio di riscatto che richiede un pagamento (in inglese) di 200 euro.
Questa recente comparsa del ransomware come payload iniziale è stata del tutto inaspettata, dopo un periodo così lungo e relativamente tranquillo. Il cambio di tattica potrebbe essere un indicatore del fatto che gli attori delle minacce stanno tornando al ransomware e lo usano con nuove tattiche per adescare vittime.
Anche se questi volumi sono ancora relativamente piccoli, questo cambiamento è degno di nota. Il pieno significato di questo avvenimento non è ancora chiaro, ciò che è chiaro è che il panorama delle minacce sta cambiando rapidamente e che i difensori dovrebbero continuare a fronteggiare l’inaspettato.
Se vuoi mantenere al sicuro i tuoi dati ed affidarti ad un’azienda strutturata e in grado di affrontare qualsiasi minaccia, contattaci qui.