Dal primo rapporto realizzato dal Malware Analysis Lab, guidato da Luigi Martire nel laboratorio istituito all’interno dell’Osservatorio Cybersecurity dell’Università Unipegaso e diretto da Pierluigi Paganini, emerge il ransomware Sarcoma.
“Chi attacca sceglie quando e dove attaccare, usa le nuove tecnologie in maniera spregiudicata e può ignorare leggi, regolamenti e direttive”, commenta Domenico Raguseo, head of cyber security presso Exprivia. Ecco come proteggersi dalla nuova minaccia.
Indice degli argomenti
Il report
La missione di Malware Analysis Lab consiste nell’analizzare le principali minacce malware che colpiscono i sistemi di tutto il mondo, sezionando i codici maligni e condividendo le scoperte con la comunità internazionale.
“Per ridurre la distanza tra chi attacca e chi difende, è imprescindibile condividere informazioni su attacchi e attaccanti, e quando questo viene fatto con report precisi e completi con dettagli di carattere ‘operational’, non si può far altro che utilizzare queste informazioni e congratularmi con gli autori per questa iniziativa di grandissimo valore”, sottolinea Raguseo.
Sarcoma ransomware: i dettagli
Il ransomware si distingue per tattiche aggressive come l’uso di exploit zero-day e strumenti RMM.
Rilevato per la prima volta nell’ottobre 2024, ha scalato velocemente la classifica, diventando uno dei gruppi di ransomware più attivi e pericolosi, in grado di colpire colpito imprese operanti in diversi settori del calibro di Unimicron, TMA Group e Smart Media Group Bulgaria, da cui ha esfiltrato 40 Gbyte di dati sensibili.
“Sarcoma ransomware racconta di una evoluzione continua della tecniche di attacco”, mette in guardia Raguseo: “Non si tratta solo di criptare i dati e chiedere il riscatto, ma di un vero modello di business disegnato per ottenere profitti illeciti che si adatta alle vulnerabilità (conosciute e non) e per selezionare i mercati e i target”.
Come proteggersi da Sarcoma ransomware
Per mitigare il rischio ransomware in azienda, occorre implementare soluzioni per il rilevamento di comportamenti anomali ed esfiltrazione di dati (per esempio, EDR, controlli di integrità del software, filtri DNS) è cruciale promuovere la consapevolezza anche attraverso una cultura aziendale attenta alla provenienza degli strumenti utilizzati.
Serve un approccio integrato e multilivello alla cyber sicurezza, che prenda in esame la governance, la gestione del rischio e la conformità per blindare le infrastrutture critiche in maniera efficace.
La formazione del personale è imprescindibile, anche per verificare sempre le fonti da cui si scaricano software e aggiornamenti.
Al contempo, le organizzazioni devono adottare sistemi di monitoraggio per il rilevamento di attività sospette, come l’installazione non autorizzata di software o un anomalo traffico di rete, oltre allo sviluppo e a test regolari di piani di risposta per fronteggiare tempestivamente potenziali compromissioni.
Strategie multilivello da adottare includono soluzioni EDR, per intercettare comportamenti anomali sul fronte endpoint, architetture Sase per il controllo e la protezione del traffico di rete ovunque si trovi l’utente, e servizi Soc evoluti, in grado di effettuare correlazioni di log e rilevamento di pattern sospetti che potrebbero segnalare compromissioni in sordina.
