È stata identificata una nuova operazione ransomware, che si aggiunge alle numerose già note, denominata 0mega. Prende di mira aziende di tutto il mondo, crittografando i dati presenti nella macchina oggetto di infezione e richiedendo un riscatto per fornire la chiave di sblocco, con la tecnica della doppia estorsione.
Indice degli argomenti
Il nuovo ransomware 0mega
Del nuovo gruppo cyber criminale si sa ancora molto poco: è stata identificata una nuova campagna che è collegata a un software malevolo di tipo ransomware, che si presenta sotto il nome di 0mega. I ricercatori non hanno ancora avuto la possibilità di entrare in contatto con un campione del software ransomware, di modo da poterne analizzare i dettagli più tecnici attraverso le tecniche di reverse engineering. Ma da ciò che riportano le prime vittime colpite da questa nuova cyber gang, sembra che ai file all’interno del computer, che vengono crittografati, venga aggiunta l’estensione .0mega, e al contempo nelle cartelle che contengono tali file, vengono aggiunti i file contenenti la nota di riscatto. Quest’ultimo file appare con il nome di DECRYPT-FILES.txt.
Il primo approccio estorsivo alla vittima, dunque, è proprio la richiesta di riscatto per poter avere la chiave di decriptazione, utile a ripristinare il corretto accesso ai propri file, a questo punto resi completamente inaccessibili.
ID-Ransomware riporta, però, che questa nuova operazione, come ormai sempre più spesso accade, è anche accompagnata da una seconda estorsione, costituita appunto dalla minaccia di diffusione online di quanto rubato, tra i file criptati dell’azienda vittima.
Questa esposizione avviene nel data leak site del gruppo criminale, sotto rete Tor, che ha l’aspetto come visibile nell’immagine sottostante.
Possibile risultato di rebranding
Presumibilmente, anche questa nuova operazione ransomware sfrutterà le debolezze del fattore umano, presente nelle realtà aziendali e lavorative in generale, quasi ovunque, per poter fare il suo primo ingresso nei computer oggetto di attacco, mediante il phishing, via e-mail. Non si sa con certezza, ma è molto probabile che la diffusione del payload malevolo avvenga proprio attraverso campagne mirate di phishing.
Doveroso ricordare anche che questo attuale, nel panorama ransomware, è un momento storico ricco di eventi rilevanti, primo fra tutti la chiusura delle operazioni della storica cyber gang Conti, una delle più attive e prolifiche associazioni criminali informatiche. Non pensiamo dunque sia una mera coincidenza, la nascita di nuovi piccoli gruppi con operazioni ransomware. 0mega è una di queste, ma abbiamo avuto modo di seguire, insieme al gruppo Conti, anche l’espansione di Karakurt e la più recente espansione di LockBit 3.0, con un nuovo design di tutta l’infrastruttura.
Solitamente, queste attività interne alle organizzazioni criminali hanno il valore di aumentare la potenza di attacco, grazie a migliorie ai loro software, oppure sviare le indagini delle forze dell’ordine che lavorano su di esse per identificarle. Quello che è sempre più certo, ormai, è che si nota una “forza lavoro” in eccesso, da riorganizzare (in nuovi gruppi) e ridistribuire (nelle ristrutturazioni dei gruppi esistenti).
Importante, dunque, tenere sempre gli occhi aperti e investire nella security awareness degli utenti aziendali, quindi non solo i dipendenti ma anche i fornitori e i clienti esterni al perimetro aziendale.
