È stato ribattezzato RedAlert il nuovo ransomware in grado di crittografare i server Windows e Linux virtualizzati tramite VMWare ESXi. Ecco tutti i dettagli tecnici e i consigli per mitigare il rischio di un attacco
Funzionario informatico, Esperto ICT, Socio Clusit e autore
Una nuova operazione ransomware chiamata RedAlert è stata scoperta da MalwareHunterTeam, che ha pubblicato nei giorni scorsi, in un post su Twitter, vari screenshot prelevati dal Data Leak Site (DLS) denominato “Board of Shame” dalla gang criminale.
La nuova operazione sarebbe in grado di crittografare i server Windows e Linux virtualizzati tramite VMWare ESXi, l’hypervisor di livello Enterprise delle reti aziendali attaccate.
Attualmente, nel caso di specie scoperto da MalwareHunterTeam risulterebbe in lista solo un’organizzazione vittima, alla quale è stato chiesto il pagamento di un riscatto (di cui non si conosce l’importo) per evitare la pubblicazione di circa 300 GB di dati sensibili esfiltrati.
A look at RedAlert ransomware gang's leak site, titled "Board of shame". Currently only 1 victim listed… pic.twitter.com/vfuptO8L0x
— MalwareHunterTeam (@malwrhunterteam) July 5, 2022
Secondo l’analisi condotta da Bleepingcomputer su un encryptor Linux (ma esisterebbero anche campioni Windows) del ransomware RedAlert (chiamato così in virtù di una stringa utilizzata nella richiesta di riscatto “%REDALERT UNIQUE IDENTIFIER START%”), il campione presenterebbe una shell (N13V) con diverse opzioni da riga di comando per colpire i server tipo VMware ESXi.
Fonte: BleepingComputer.
Diverse le opzioni, tra le quali le più interessanti sarebbero:
“-w” che consente agli attori delle minacce di arrestare qualsiasi macchina virtuale in esecuzione utilizzando il comando “esxcli” prima di crittografare i file;
“-x” che esegue il test delle prestazioni della crittografia asimmetrica utilizzando diversi set di parametri della crittografia NTRUEncrypt.
Fonte: BleepingComputer.
Indice degli argomenti
L’algoritmo crittografico del ransomware RedAlert
Durante la crittografia dei file secondo l’algoritmo a chiave pubblica NTRUEncrypt, il ransomware cifrerebbe solo i file associati alle macchine virtuali VMware ESXi, inclusi file di registro, file di scambio, dischi virtuali e file di memoria con estensioni .log, .vmdk, .vmem, .vswp e .vmsn, aggiungendo l’estensione “.crypt658” ai nomi dei file crittografati.
Fonte: BleepingComputer.
La richiesta di riscatto
In ogni cartella il ransomware creerà, secondo copione, anche una richiesta di riscatto personalizzata denominata “HOW_TO_RESTORE”, che contiene una descrizione dei dati rubati e un collegamento a un sito di pagamento del riscatto unico per ogni vittima (bisogna accedere ad un sito .onion con il browser Tor).
Fonte: BleepingComputer.
Leggendo la nota si può vedere come anche RedAlert conduca attacchi a estorsione multipla seguendo un modus operandi comune in quasi tutte le nuove operazioni di ransomware attuali, ovvero quando i dati vengono rubati e quindi il ransomware viene distribuito per crittografare i dispositivi vengono messi sul piatto quattro tipi di estorsione:
richiesta di riscatto per ricevere un decryptor;
richiesta di riscatto per prevenire una fuga dei dati rubati;
richiesta di riscatto per prevenire un attacco DDos al sito dell’azienda vittima;
richiesta di riscatto per prevenire anche il coinvolgimento degli impiegati della stessa azienda.
Il sito per il pagamento del riscatto
Il sito Tor per il pagamento infine mostra tutti i dettagli della richiesta di riscatto fornendo anche un modo per negoziare con gli attori delle minacce tramite una “Live-chat”. In particolare questo gruppo RedAlert/N13V accetterebbe per il pagamento solo la criptovaluta Monero (XMR).
Fonte: BleepingComputer.
Come mitigare il ransomware RedAlert
Le funzionalità avanzate di questo nuovo ransomware e il supporto previsto per Linux e Windows, di certo non devono far restare per niente tranquilli i responsabili della sicurezza aziendali.
Restano pertanto sempre valide alcune best practice di contrasto che non sono ovviamente da ritenere le uniche soluzioni da intraprendere (andrebbero studiate delle misure di sicurezza adeguate e ottimizzate per la propria realtà aziendale):
aggiornare periodicamente sistemi e applicazioni, con un solido piano di gestione delle patch;
utilizzare l’autenticazione 2FA per gli account amministrativi critici, disattivando gli account amministrativi convenzionali;
limitare gli accessi remoti, qualora non protetti tramite autenticazione 2FA;
segmentare la rete tenendo separati e isolati i sistemi critici;
adottare strategie di backup secondo la regola 3-2-1, possedere almeno tre copie dei dati aziendali, conservare le copie su due supporti diversi, conservare una copia del backup off-site;
integrare nella cultura aziendale la consapevolezza della sicurezza e delle buone regole di condotta, verificandone l’attuazione con audit periodici.
Si raccomanda altresì la massima attenzione. La nuova campagna ransomware, potrebbe essere solo ancora all’inizio.
Su questo sito utilizziamo cookie tecnici necessari alla navigazione e funzionali all’erogazione del servizio.
Utilizziamo i cookie anche per fornirti un’esperienza di navigazione sempre migliore, per facilitare le interazioni con le nostre funzionalità social e per consentirti di ricevere comunicazioni di marketing aderenti alle tue abitudini di navigazione e ai tuoi interessi.
Puoi esprimere il tuo consenso cliccando su ACCETTA TUTTI I COOKIE. Chiudendo questa informativa, continui senza accettare.
Potrai sempre gestire le tue preferenze accedendo al nostro COOKIE CENTER e ottenere maggiori informazioni sui cookie utilizzati, visitando la nostra COOKIE POLICY.
ACCETTA
PIÙ OPZIONI
Cookie Center
ACCETTA TUTTO
RIFIUTA TUTTO
Tramite il nostro Cookie Center, l'utente ha la possibilità di selezionare/deselezionare le singole categorie di cookie che sono utilizzate sui siti web.
Per ottenere maggiori informazioni sui cookie utilizzati, è comunque possibile visitare la nostra COOKIE POLICY.
ACCETTA TUTTO
RIFIUTA TUTTO
COOKIE TECNICI
Strettamente necessari
I cookie tecnici sono necessari al funzionamento del sito web perché abilitano funzioni per facilitare la navigazione dell’utente, che per esempio potrà accedere al proprio profilo senza dover eseguire ogni volta il login oppure potrà selezionare la lingua con cui desidera navigare il sito senza doverla impostare ogni volta.
COOKIE ANALITICI
I cookie analitici, che possono essere di prima o di terza parte, sono installati per collezionare informazioni sull’uso del sito web. In particolare, sono utili per analizzare statisticamente gli accessi o le visite al sito stesso e per consentire al titolare di migliorarne la struttura, le logiche di navigazione e i contenuti.
COOKIE DI PROFILAZIONE E SOCIAL PLUGIN
I cookie di profilazione e i social plugin, che possono essere di prima o di terza parte, servono a tracciare la navigazione dell’utente, analizzare il suo comportamento ai fini marketing e creare profili in merito ai suoi gusti, abitudini, scelte, etc. In questo modo è possibile ad esempio trasmettere messaggi pubblicitari mirati in relazione agli interessi dell’utente ed in linea con le preferenze da questi manifestate nella navigazione online.
