L'ANALISI TECNICA

Maze, dai creatori del ransomware i consigli (da non seguire) per reagire ad un attacco

In un post su Twitter, i creatori del ransomware Maze hanno pubblicato un comunicato stampa con i consigli su come le vittime dovrebbero reagire ad un attacco. Ecco che c’è da sapere e le best practice per difendersi davvero da questa minaccia

23 Giu 2020
Paolo Tarsitano

Editor Cybersecurity360.it

I creatori del ransomware Maze hanno rilasciato un comunicato stampa in cui forniscono alcuni (utili, secondo loro) consigli alle vittime su come comportarsi correttamente in seguito all’infezione del malware.

In particolare, i criminal hacker ritengono che l’avvio di una trattativa per ottenere lo sblocco dei file e delle cartelle criptate dal ransomware, unita ai tempi di fermo produttivo, potrebbe costare all’azienda molto di più che non pagare subito il riscatto.

Nello stesso comunicato si legge, inoltre, che il team Maze procederà ad esporre su Internet i dati interni o privati delle aziende che non dovessero essere disposte a pagare in tempi brevi. I criminal hacker comunicano, infatti, che si starebbero specializzando nella pubblicazione di informazioni finanziarie, documenti riservati, contratti, database e numeri di carte di credito delle aziende vittime del loro ransomware.

Ovviamente, i consigli ripresi nel comunicato stampa hanno un fine intimidatorio nei confronti delle aziende. È vero, infatti, che in caso di attacco è necessario sostenere i costi relativi all’indagine post-infezione e al ripristino dei sistemi. Ma è altrettanto vero che una corretta prevenzione degli attacchi informatici unita ad un efficiente sistema di monitoraggio delle attività sospette all’interno della propria rete locale e ad una corretta formazione e security awareness dei dipendenti possono, se non azzerare, quantomeno abbattere questi costi.

“Il team di Maze ha sviluppato una serie di tecniche e procedure mirate a ridurre al massimo il tempo che intercorre tra la compromissione del primo computer e la cifratura dei dati a livello di infrastruttura generale. La prima linea di difesa è sempre un utente educato, capace di identificare mail potenzialmente sospette, phishing ed attachment ambigui. Maze, infatti, viene diffuso principalmente via campagne di spam mirato”, ci dice Alberto Pelliccione, CEO di ReaQta.

“La seconda linea è invece tecnologica: gli attaccanti non cifrano la macchina su cui effettuano il primo ingresso, ma si muovono fino a raggiungere le macchine con elevato livello di accesso e da lì sferrano l’attacco finale”, continua Pelliccione.

“Si deve quindi procedere per strati che vanno da una corretta divisione dei diritti di accesso degli utenti, alla chiusura delle connessioni RDP (Remote Desktop Protocol) non assolutamente necessarie e policy che garantiscano autenticazione a multiplo fattore (Maze, infatti, spesso entra nelle infrastrutture grazie a password deboli). La terza linea di difesa consiste nell’equipaggiare tutti gli endpoint con adeguato software di analisi come un EDR, capace di offrire funzionalità anti-ransomware, analisi comportamentale per identificare i primi vettori di accesso e capacità di Threat Hunting per seguire e bloccare gli attaccanti anche negli stati più avanzati dell’attacco. Questa serie di misure può mitigare il problema consentendo, anche nel caso peggiore, una rapida risposta alla minaccia invece di dover cedere al ricatto e al furto di dati”.

Il comunicato stampa del team Maze è stato ripreso in un post su Twitter pubblicato dal gruppo Shadow Intelligence che, tra l’altro, riporta anche la notizia di una violazione del gigante dell’elettronica LG, di cui però al momento non si hanno ulteriori notizie.

Ransomware Maze: una vecchia conoscenza per l’Italia

Il ransomware Maze, lo ricordiamo, è una vecchia conoscenza anche per le aziende italiane.

Lo scorso mese di ottobre 2019 è stato infatti rilevato un picco di diffusione del ransomware che, mediante una massiccia campagna di malspam, ha colpito aziende e pubbliche amministrazioni nascondendosi dietro finte comunicazioni dell’Agenzia delle Entrate.

WHITEPAPER
Le fasi del mining: stabilire un obiettivo e la criptovaluta. Scopri di più
Blockchain
Criptovalute

Come già successo con il banking trojan Emotet, anche Maze sfruttava il logo istituzionale e i riferimenti ufficiali dell’Agenzia delle Entrate per rendere più credibile la trappola e trarre in inganno le potenziali vittime.

Le e-mail malevoli, scritte in un italiano abbastanza corretto, avevano in allegato un file Word “VERDI.doc” armato di macro malevola il cui codice, se eseguito, avviava il download e la successiva attivazione del ransomware Maze.

Uno dei campioni di e-mail infetta isolata dagli analisti del CERT-PA.

I dettagli tecnici del ransomware Maze

Il malware era già stato rilevato dagli analisti del CERT-PA il 25 ottobre : nella nuova campagna di diffusione del codice malevolo, i criminal hacker hanno sfruttato due nuovi domini registrati ad hoc:

  • agenziaentrateinformazioni.icu
  • agenziaentrate.icu

Anche questa nuova variante del ransomware Maze viene veicolata tramite l’ausilio dell’exploit SpelevoEK che, come scoperto dal ricercatore di sicurezza nao_sec, sfrutta la vulnerabilità CVE-2018-15982 presente nelle versioni di Flash Player 31.0.0.153 e 31.0.0.108.

Se sfruttato con successo, l’exploit procede a scaricare e installare automaticamente il payload di Maze. Terminata l’installazione del payload, Maze provvede subito a modificare l’estensione dei file presenti sul sistema cifrandoli mediante l’algoritmo RSA-2048.

Tra i file cifrati, sarà presente un file denominato DECRYPT-FILES.txt contenente la nota di riscatto con le istruzioni su come aprire un sito web ospitato sulla rete TOR e procedere con il pagamento richiesto per l’acquisto della chiave privata necessaria per decriptare i file.

Ecco come appaiono i nostri file dopo essere stati criptati dal ransomware Maze e la relativa nota di riscatto.

Il ransomware Maze, inoltre, fornisce alle vittime un’interfaccia di decrittografia online che permette loro di decriptare tre dei loro file bloccati come prova che la procedura di sblocco è effettivamente possibile e funzionante.

In particolare, mediante questa interfaccia le vittime saranno invitate a caricare la nota di riscatto per ottenere ulteriori istruzioni su come recuperare i loro dati. Una volta che il parser degli aggressori riconosce la nota di riscatto, le vittime saranno reindirizzate a una pagina Web dove potranno testare lo strumento di sblocco dei file (sono supportati solo file immagine in formato BMP, JPG, GIF e PNG) e ottenere ulteriori informazioni su come acquistare Bitcoin per pagare il riscatto. Il cui valore raddoppia automaticamente se le vittime non pagano entro una settimana circa dal caricamento della nota di riscatto.

Sul sito di “supporto” del ransomware Maze, inoltre, è presente anche una chat di supporto per chiedere informazioni direttamente ai criminal hacker.

Le istruzioni per difendersi dagli attacchi ransomware

Al momento non è stato ancora rilasciato un tool per riuscire a decifrare i file bloccati senza pagare il riscatto. L’unico strumento di difesa, dunque, rimane la prevenzione.

Il primo passo da fare è dunque quello di aggiornare sia l’antivirus sia il sistema operativo, oltre ovviamente alla versione di Flash Player installata sul computer.

È di fondamentale importanza, poi, eseguire periodicamente un backup dei dati, cioè una copia dei propri file da ripristinare in caso di attacco. Chiaramente, tale backup deve essere archiviato su una macchina differente e non collegata alla stessa LAN.

Se si viene attaccati, invece, le buone pratiche di sicurezza informatica dicono che non bisogna mai pagare il riscatto, ma rivolgersi a un’azienda che si occupa di sicurezza informatica.

Infine, è utile applicare alcune semplici regole pratiche che ci possono aiutare a non cadere nella trappola dei ransomware:

  • non aprire mai gli allegati di e-mail di dubbia provenienza. Nel dubbio è consigliabile chiedere al mittente se quella e-mail è autentica;
  • fare attenzione alle e-mail provenienti anche da indirizzi noti (potrebbero essere stati hackerati secondo una modalità di falsificazione nota come quella dello spoofing);
  • abilitare l’opzione Mostra estensioni nomi file nelle impostazioni di Windows: i file più pericolosi hanno l’estensione EXE, ZIP, JS, JAR, SCR ecc: se questa opzione è disabilitata non riusciremo a vedere la reale estensione del file;
  • disabilitare la riproduzione automatica (“autorun”) di chiavette USB, CD/DVD e altri supporti esterni e, più in generale, evitare di inserire questi oggetti nel nostro computer se non siamo certi della provenienza;
  • disabilitare l’esecuzione di macro da parte di componenti Office (Word, Excel, PowerPoint). Una macro malevola potrebbe essere contenuta in un allegato in formato Office e attivarsi automaticamente a seguito di un nostro clic;
  • utilizzare – quando possibile – account senza diritti da amministratore: se viene violato un account con privilegi ed accessi di amministratore, l’attaccante potrà utilizzare gli stessi privilegi per compiere più azioni e fare maggiori danni.

WHITEPAPER
Sicurezza garantita per le tue applicazioni: ecco i 5 passaggi chiave da rispettare
Sicurezza
Software
@RIPRODUZIONE RISERVATA

Speciale PNRR

Tutti
Incentivi
PA
Sostemibilità
Analisi
Formazione
Salute digitale
Sicurezza
Sostenibilità
Digital Economy
Formazione
Trasferimento tecnologico, il Mise mette sul piatto 7,5 milioni
Strategie
PSN e Strategia Cloud Italia: a che punto siamo e come supportare la PA in questo percorso
Dispersione idrica
Siccità: AI e analisi dei dati possono ridurre gli sprechi d’acqua. Ecco gli interventi necessari
PNRR
Cloud, firmato il contratto per l’avvio di lavori del Polo strategico
Formazione
Competenze digitali, stanziati 48 milioni per gli Istituti tecnologici superiori
Iniziative
Digitalizzazione delle reti idriche: oltre 600 milioni per 21 progetti
Competenze e competitività
PNRR, così i fondi UE possono rilanciare la ricerca e l’Università
Finanziamenti
PNRR, si sbloccano i fondi per l’agrisolare
Sanità post-pandemica
PNRR, Missione Salute: a che punto siamo e cosa resta da fare
Strategie
Sovranità e autonomia tecnologica nazionale: come avviare un processo virtuoso e sostenibile
La relazione
Pnrr e PA digitale, l’alert della Corte dei conti su execution e capacità di spesa
L'editoriale
Elezioni 2022, la sfida digitale ai margini del dibattito politico
Strategie
Digitale, il monito di I-Com: “Senza riforme Pnrr inefficace”
Transizione digitale
Pnrr: arrivano 321 milioni per cloud dei Comuni, spazio e mobilità innovativa
L'analisi I-COM
Il PNRR alla prova delle elezioni: come usare bene le risorse e centrare gli obiettivi digitali
Cineca
Quantum computing, una svolta per la ricerca: lo scenario europeo e i progetti in corso
L'indice europeo
Desi, l’Italia scala due posizioni grazie a fibra e 5G. Ma è (ancora) allarme competenze
L'approfondimento
PNRR 2, ecco tutte le misure per cittadini e imprese: portale sommerso, codice crisi d’impresa e sismabonus, cosa cambia
Servizi digitali
PNRR e trasformazione digitale: ecco gli investimenti e le riforme previste per la digitalizzazione della PA
Legal health
Lo spazio europeo dei dati sanitari: come circoleranno le informazioni sulla salute nell’Unione Europea
Servizi digitali
PNRR e PA digitale: non dimentichiamo la dematerializzazione
Digital Healthcare transformation
La trasformazione digitale degli ospedali
Governance digitale
PA digitale, è la volta buona? Così misure e risorse del PNRR possono fare la differenza
Servizi digitali
Comuni e digitale, come usare il PNRR senza sbagliare
La survey
Pnrr e digitale accoppiata vincente per il 70% delle pmi italiane
Missione salute
Fascicolo Sanitario Elettronico alla prova del PNRR: limiti, rischi e opportunità
Servizi pubblici
PNRR: come diventeranno i siti dei comuni italiani grazie alle nuove risorse
Skill gap
PNRR, la banda ultra larga crea 20.000 nuovi posti di lavoro
Il Piano
Spazio, Colao fa il punto sul Pnrr: i progetti verso la milestone 2023
FORUMPA2022
PNRR e trasformazione digitale: rivedi i Talk di FORUM PA 2022 in collaborazione con le aziende partner
I contratti
Avio, 340 milioni dal Pnrr per i nuovi propulsori a metano
Next Generation EU
PNRR, a che punto siamo e cosa possono aspettarsi le aziende private
Fondi
Operativo il nuovo portale del MISE con tutti i finanziamenti per le imprese
Servizi comunali
Il PNRR occasione unica per i Comuni digitali: strumenti e risorse per enti e cittadini
Healthcare data platform
PNRR dalla teoria alla pratica: tecnologie e soluzioni per l’innovazione in Sanità
Skill
Competenze digitali, partono le Reti di facilitazione
Gli obiettivi
Scuola 4.0, PNRR ultima chance: ecco come cambierà il sistema formativo
Sistema Paese
PNRR 2, è il turno della space economy
FORUM PA 2022
FORUM PA 2022: la maturità digitale dei comuni italiani rispetto al PNRR
Analisi
PNRR: dalla Ricerca all’impresa, una sfida da cogliere insieme
Innovazione
Pnrr, il Dipartimento per la Trasformazione digitale si riorganizza
FORUM PA 2022
PA verde e sostenibile: il ruolo di PNRR, PNIEC, energy management e green public procurement
Analisi
PNRR, Comuni e digitalizzazione: tutto su fondi e opportunità, in meno di 3 minuti. Guarda il video!
Rapporti
Competenze digitali e servizi automatizzati pilastri del piano Inps
Analisi
Attuazione del PNRR: il dialogo necessario tra istituzioni e società civile. Rivedi lo Scenario di FORUM PA 2022
Progetti
Pnrr, fondi per il Politecnico di Torino. Fra i progetti anche IS4Aerospace
Analisi
PNRR, Colao fa il punto sulla transizione digitale dell’Italia: «In linea con tutte le scadenze»
La Svolta
Ict, Istat “riclassifica” i professionisti. Via anche al catalogo dati sul Pnrr
Analisi
Spazio, Colao fa il punto sul Pnrr: i progetti verso la milestone 2023
FORUM PA 2022
Ecosistema territoriale sostenibile: l’Emilia Romagna tra FESR e PNRR
Il Piano
Innovazione, il Mise “centra” gli obiettivi Pnrr: attivati 17,5 miliardi
Analisi
PNRR: raggiunti gli obiettivi per il primo semestre 2022. Il punto e qualche riflessione
Analisi
PNRR: dal dialogo tra PA e società civile passa il corretto monitoraggio dei risultati, tra collaborazione e identità dei luoghi
Webinar
Comuni e PNRR: un focus sui bandi attivi o in pubblicazione
Analisi
Formazione 4.0: cos’è e come funziona il credito d’imposta
PA e Sicurezza
PA e sicurezza informatica: il ruolo dei territori di fronte alle sfide della digitalizzazione
PA e sicurezza
PNRR e servizi pubblici digitali: sfide e opportunità per Comuni e Città metropolitane
Water management
Water management in Italia: verso una transizione “smart” e “circular” 
LE RISORSE
Transizione digitale, Simest apre i fondi Pnrr alle medie imprese
Prospettive
Turismo, cultura e digital: come spendere bene le risorse del PNRR
Analisi
Smart City: quale contributo alla transizione ecologica
Decarbonizzazione
Idrogeno verde, 450 milioni € di investimenti PNRR, Cingolani firma
Unioncamere
PNRR, imprese in ritardo: ecco come le Camere di commercio possono aiutare
I fondi
Industria 4.0: solo un’impresa su tre pronta a salire sul treno Pnrr
Formazione
Trasferimento tecnologico, il Mise mette sul piatto 7,5 milioni
Strategie
PSN e Strategia Cloud Italia: a che punto siamo e come supportare la PA in questo percorso
Dispersione idrica
Siccità: AI e analisi dei dati possono ridurre gli sprechi d’acqua. Ecco gli interventi necessari
PNRR
Cloud, firmato il contratto per l’avvio di lavori del Polo strategico
Formazione
Competenze digitali, stanziati 48 milioni per gli Istituti tecnologici superiori
Iniziative
Digitalizzazione delle reti idriche: oltre 600 milioni per 21 progetti
Competenze e competitività
PNRR, così i fondi UE possono rilanciare la ricerca e l’Università
Finanziamenti
PNRR, si sbloccano i fondi per l’agrisolare
Sanità post-pandemica
PNRR, Missione Salute: a che punto siamo e cosa resta da fare
Strategie
Sovranità e autonomia tecnologica nazionale: come avviare un processo virtuoso e sostenibile
La relazione
Pnrr e PA digitale, l’alert della Corte dei conti su execution e capacità di spesa
L'editoriale
Elezioni 2022, la sfida digitale ai margini del dibattito politico
Strategie
Digitale, il monito di I-Com: “Senza riforme Pnrr inefficace”
Transizione digitale
Pnrr: arrivano 321 milioni per cloud dei Comuni, spazio e mobilità innovativa
L'analisi I-COM
Il PNRR alla prova delle elezioni: come usare bene le risorse e centrare gli obiettivi digitali
Cineca
Quantum computing, una svolta per la ricerca: lo scenario europeo e i progetti in corso
L'indice europeo
Desi, l’Italia scala due posizioni grazie a fibra e 5G. Ma è (ancora) allarme competenze
L'approfondimento
PNRR 2, ecco tutte le misure per cittadini e imprese: portale sommerso, codice crisi d’impresa e sismabonus, cosa cambia
Servizi digitali
PNRR e trasformazione digitale: ecco gli investimenti e le riforme previste per la digitalizzazione della PA
Legal health
Lo spazio europeo dei dati sanitari: come circoleranno le informazioni sulla salute nell’Unione Europea
Servizi digitali
PNRR e PA digitale: non dimentichiamo la dematerializzazione
Digital Healthcare transformation
La trasformazione digitale degli ospedali
Governance digitale
PA digitale, è la volta buona? Così misure e risorse del PNRR possono fare la differenza
Servizi digitali
Comuni e digitale, come usare il PNRR senza sbagliare
La survey
Pnrr e digitale accoppiata vincente per il 70% delle pmi italiane
Missione salute
Fascicolo Sanitario Elettronico alla prova del PNRR: limiti, rischi e opportunità
Servizi pubblici
PNRR: come diventeranno i siti dei comuni italiani grazie alle nuove risorse
Skill gap
PNRR, la banda ultra larga crea 20.000 nuovi posti di lavoro
Il Piano
Spazio, Colao fa il punto sul Pnrr: i progetti verso la milestone 2023
FORUMPA2022
PNRR e trasformazione digitale: rivedi i Talk di FORUM PA 2022 in collaborazione con le aziende partner
I contratti
Avio, 340 milioni dal Pnrr per i nuovi propulsori a metano
Next Generation EU
PNRR, a che punto siamo e cosa possono aspettarsi le aziende private
Fondi
Operativo il nuovo portale del MISE con tutti i finanziamenti per le imprese
Servizi comunali
Il PNRR occasione unica per i Comuni digitali: strumenti e risorse per enti e cittadini
Healthcare data platform
PNRR dalla teoria alla pratica: tecnologie e soluzioni per l’innovazione in Sanità
Skill
Competenze digitali, partono le Reti di facilitazione
Gli obiettivi
Scuola 4.0, PNRR ultima chance: ecco come cambierà il sistema formativo
Sistema Paese
PNRR 2, è il turno della space economy
FORUM PA 2022
FORUM PA 2022: la maturità digitale dei comuni italiani rispetto al PNRR
Analisi
PNRR: dalla Ricerca all’impresa, una sfida da cogliere insieme
Innovazione
Pnrr, il Dipartimento per la Trasformazione digitale si riorganizza
FORUM PA 2022
PA verde e sostenibile: il ruolo di PNRR, PNIEC, energy management e green public procurement
Analisi
PNRR, Comuni e digitalizzazione: tutto su fondi e opportunità, in meno di 3 minuti. Guarda il video!
Rapporti
Competenze digitali e servizi automatizzati pilastri del piano Inps
Analisi
Attuazione del PNRR: il dialogo necessario tra istituzioni e società civile. Rivedi lo Scenario di FORUM PA 2022
Progetti
Pnrr, fondi per il Politecnico di Torino. Fra i progetti anche IS4Aerospace
Analisi
PNRR, Colao fa il punto sulla transizione digitale dell’Italia: «In linea con tutte le scadenze»
La Svolta
Ict, Istat “riclassifica” i professionisti. Via anche al catalogo dati sul Pnrr
Analisi
Spazio, Colao fa il punto sul Pnrr: i progetti verso la milestone 2023
FORUM PA 2022
Ecosistema territoriale sostenibile: l’Emilia Romagna tra FESR e PNRR
Il Piano
Innovazione, il Mise “centra” gli obiettivi Pnrr: attivati 17,5 miliardi
Analisi
PNRR: raggiunti gli obiettivi per il primo semestre 2022. Il punto e qualche riflessione
Analisi
PNRR: dal dialogo tra PA e società civile passa il corretto monitoraggio dei risultati, tra collaborazione e identità dei luoghi
Webinar
Comuni e PNRR: un focus sui bandi attivi o in pubblicazione
Analisi
Formazione 4.0: cos’è e come funziona il credito d’imposta
PA e Sicurezza
PA e sicurezza informatica: il ruolo dei territori di fronte alle sfide della digitalizzazione
PA e sicurezza
PNRR e servizi pubblici digitali: sfide e opportunità per Comuni e Città metropolitane
Water management
Water management in Italia: verso una transizione “smart” e “circular” 
LE RISORSE
Transizione digitale, Simest apre i fondi Pnrr alle medie imprese
Prospettive
Turismo, cultura e digital: come spendere bene le risorse del PNRR
Analisi
Smart City: quale contributo alla transizione ecologica
Decarbonizzazione
Idrogeno verde, 450 milioni € di investimenti PNRR, Cingolani firma
Unioncamere
PNRR, imprese in ritardo: ecco come le Camere di commercio possono aiutare
I fondi
Industria 4.0: solo un’impresa su tre pronta a salire sul treno Pnrr

Articolo 1 di 2