L'ANALISI TECNICA

RedAlert, il ransomware che prende di mira i server Windows e Linux virtualizzati: come difendersi

È stato ribattezzato RedAlert il nuovo ransomware in grado di crittografare i server Windows e Linux virtualizzati tramite VMWare ESXi. Ecco tutti i dettagli tecnici e i consigli per mitigare il rischio di un attacco

07 Lug 2022
L
Salvatore Lombardo

Funzionario informatico, Esperto ICT, Socio Clusit e autore

Una nuova operazione ransomware chiamata RedAlert è stata scoperta da MalwareHunterTeam, che ha pubblicato nei giorni scorsi, in un post su Twitter, vari screenshot prelevati dal Data Leak Site (DLS) denominato “Board of Shame” dalla gang criminale.

La nuova operazione sarebbe in grado di crittografare i server Windows e Linux virtualizzati tramite VMWare ESXi, l’hypervisor di livello Enterprise delle reti aziendali attaccate.

Attualmente, nel caso di specie scoperto da MalwareHunterTeam risulterebbe in lista solo un’organizzazione vittima, alla quale è stato chiesto il pagamento di un riscatto (di cui non si conosce l’importo) per evitare la pubblicazione di circa 300 GB di dati sensibili esfiltrati.

Secondo l’analisi condotta da Bleepingcomputer su un encryptor Linux (ma esisterebbero anche campioni Windows) del ransomware RedAlert (chiamato così in virtù di una stringa utilizzata nella richiesta di riscatto “%REDALERT UNIQUE IDENTIFIER START%”), il campione presenterebbe una shell (N13V) con diverse opzioni da riga di comando per colpire i server tipo VMware ESXi.

Opzioni della riga di comando del ransomware RedAlert / N13V

Fonte: BleepingComputer.

Diverse le opzioni, tra le quali le più interessanti sarebbero:

  • “-w” che consente agli attori delle minacce di arrestare qualsiasi macchina virtuale in esecuzione utilizzando il comando “esxcli” prima di crittografare i file;

  • “-x” che esegue il test delle prestazioni della crittografia asimmetrica utilizzando diversi set di parametri della crittografia NTRUEncrypt.

NTRUEncrypt ​​​​​​​test della velocità di crittografia

Fonte: BleepingComputer.

L’algoritmo crittografico del ransomware RedAlert

Durante la crittografia dei file secondo l’algoritmo a chiave pubblica NTRUEncrypt, il ransomware cifrerebbe solo i file associati alle macchine virtuali VMware ESXi, inclusi file di registro, file di scambio, dischi virtuali e file di memoria con estensioni .log, .vmdk, .vmem, .vswp e .vmsn, aggiungendo l’estensione “.crypt658” ai nomi dei file crittografati.

WHITEPAPER
Nuovi attacchi informatici VS 3 nuovi modelli di sicurezza: scoprili!
Finanza/Assicurazioni
Sicurezza

Crittografia di file in Linux con RedAlert

Fonte: BleepingComputer.

La richiesta di riscatto

In ogni cartella il ransomware creerà, secondo copione, anche una richiesta di riscatto personalizzata denominata “HOW_TO_RESTORE”, che contiene una descrizione dei dati rubati e un collegamento a un sito di pagamento del riscatto unico per ogni vittima (bisogna accedere ad un sito .onion con il browser Tor).

Fonte: BleepingComputer.

Leggendo la nota si può vedere come anche RedAlert conduca attacchi a estorsione multipla seguendo un modus operandi comune in quasi tutte le nuove operazioni di ransomware attuali, ovvero quando i dati vengono rubati e quindi il ransomware viene distribuito per crittografare i dispositivi vengono messi sul piatto quattro tipi di estorsione:

  • richiesta di riscatto per ricevere un decryptor;
  • richiesta di riscatto per prevenire una fuga dei dati rubati;
  • richiesta di riscatto per prevenire un attacco DDos al sito dell’azienda vittima;
  • richiesta di riscatto per prevenire anche il coinvolgimento degli impiegati della stessa azienda.

Il sito per il pagamento del riscatto

Il sito Tor per il pagamento infine mostra tutti i dettagli della richiesta di riscatto fornendo anche un modo per negoziare con gli attori delle minacce tramite una “Live-chat”. In particolare questo gruppo RedAlert/N13V accetterebbe per il pagamento solo la criptovaluta Monero (XMR).

Sito di negoziazione RedAlert / N13V Tor

Fonte: BleepingComputer.

Come mitigare il ransomware RedAlert

Le funzionalità avanzate di questo nuovo ransomware e il supporto previsto per Linux e Windows, di certo non devono far restare per niente tranquilli i responsabili della sicurezza aziendali.

Restano pertanto sempre valide alcune best practice di contrasto che non sono ovviamente da ritenere le uniche soluzioni da intraprendere (andrebbero studiate delle misure di sicurezza adeguate e ottimizzate per la propria realtà aziendale):

  1. aggiornare periodicamente sistemi e applicazioni, con un solido piano di gestione delle patch;
  2. utilizzare l’autenticazione 2FA per gli account amministrativi critici, disattivando gli account amministrativi convenzionali;
  3. limitare gli accessi remoti, qualora non protetti tramite autenticazione 2FA;
  4. segmentare la rete tenendo separati e isolati i sistemi critici;
  5. adottare strategie di backup secondo la regola 3-2-1, possedere almeno tre copie dei dati aziendali, conservare le copie su due supporti diversi, conservare una copia del backup off-site;
  6. integrare nella cultura aziendale la consapevolezza della sicurezza e delle buone regole di condotta, verificandone l’attuazione con audit periodici.

Si raccomanda altresì la massima attenzione. La nuova campagna ransomware, potrebbe essere solo ancora all’inizio.

WHITEPAPER
Basta previsioni incerte: OTTIMIZZA la gestione finanziaria per accelerare la CRESCITA
Finanza/Assicurazioni
Sicurezza dei dati
@RIPRODUZIONE RISERVATA

Articolo 1 di 5