I creatori del ransomware Maze hanno rilasciato un comunicato stampa in cui forniscono alcuni (utili, secondo loro) consigli alle vittime su come comportarsi correttamente in seguito all’infezione del malware.
In particolare, i criminal hacker ritengono che l’avvio di una trattativa per ottenere lo sblocco dei file e delle cartelle criptate dal ransomware, unita ai tempi di fermo produttivo, potrebbe costare all’azienda molto di più che non pagare subito il riscatto.
Nello stesso comunicato si legge, inoltre, che il team Maze procederà ad esporre su Internet i dati interni o privati delle aziende che non dovessero essere disposte a pagare in tempi brevi. I criminal hacker comunicano, infatti, che si starebbero specializzando nella pubblicazione di informazioni finanziarie, documenti riservati, contratti, database e numeri di carte di credito delle aziende vittime del loro ransomware.
Ovviamente, i consigli ripresi nel comunicato stampa hanno un fine intimidatorio nei confronti delle aziende. È vero, infatti, che in caso di attacco è necessario sostenere i costi relativi all’indagine post-infezione e al ripristino dei sistemi. Ma è altrettanto vero che una corretta prevenzione degli attacchi informatici unita ad un efficiente sistema di monitoraggio delle attività sospette all’interno della propria rete locale e ad una corretta formazione e security awareness dei dipendenti possono, se non azzerare, quantomeno abbattere questi costi.
“Il team di Maze ha sviluppato una serie di tecniche e procedure mirate a ridurre al massimo il tempo che intercorre tra la compromissione del primo computer e la cifratura dei dati a livello di infrastruttura generale. La prima linea di difesa è sempre un utente educato, capace di identificare mail potenzialmente sospette, phishing ed attachment ambigui. Maze, infatti, viene diffuso principalmente via campagne di spam mirato”, ci dice Alberto Pelliccione, CEO di ReaQta.
“La seconda linea è invece tecnologica: gli attaccanti non cifrano la macchina su cui effettuano il primo ingresso, ma si muovono fino a raggiungere le macchine con elevato livello di accesso e da lì sferrano l’attacco finale”, continua Pelliccione.
“Si deve quindi procedere per strati che vanno da una corretta divisione dei diritti di accesso degli utenti, alla chiusura delle connessioni RDP (Remote Desktop Protocol) non assolutamente necessarie e policy che garantiscano autenticazione a multiplo fattore (Maze, infatti, spesso entra nelle infrastrutture grazie a password deboli). La terza linea di difesa consiste nell’equipaggiare tutti gli endpoint con adeguato software di analisi come un EDR, capace di offrire funzionalità anti-ransomware, analisi comportamentale per identificare i primi vettori di accesso e capacità di Threat Hunting per seguire e bloccare gli attaccanti anche negli stati più avanzati dell’attacco. Questa serie di misure può mitigare il problema consentendo, anche nel caso peggiore, una rapida risposta alla minaccia invece di dover cedere al ricatto e al furto di dati”.
Il comunicato stampa del team Maze è stato ripreso in un post su Twitter pubblicato dal gruppo Shadow Intelligence che, tra l’altro, riporta anche la notizia di una violazione del gigante dell’elettronica LG, di cui però al momento non si hanno ulteriori notizie.
Indice degli argomenti
Ransomware Maze: una vecchia conoscenza per l’Italia
Il ransomware Maze, lo ricordiamo, è una vecchia conoscenza anche per le aziende italiane.
Lo scorso mese di ottobre 2019 è stato infatti rilevato un picco di diffusione del ransomware che, mediante una massiccia campagna di malspam, ha colpito aziende e pubbliche amministrazioni nascondendosi dietro finte comunicazioni dell’Agenzia delle Entrate.
Come già successo con il banking trojan Emotet, anche Maze sfruttava il logo istituzionale e i riferimenti ufficiali dell’Agenzia delle Entrate per rendere più credibile la trappola e trarre in inganno le potenziali vittime.
Le e-mail malevoli, scritte in un italiano abbastanza corretto, avevano in allegato un file Word “VERDI.doc” armato di macro malevola il cui codice, se eseguito, avviava il download e la successiva attivazione del ransomware Maze.
Uno dei campioni di e-mail infetta isolata dagli analisti del CERT-PA.
I dettagli tecnici del ransomware Maze
Il malware era già stato rilevato dagli analisti del CERT-PA il 25 ottobre : nella nuova campagna di diffusione del codice malevolo, i criminal hacker hanno sfruttato due nuovi domini registrati ad hoc:
- agenziaentrateinformazioni.icu
- agenziaentrate.icu
Anche questa nuova variante del ransomware Maze viene veicolata tramite l’ausilio dell’exploit SpelevoEK che, come scoperto dal ricercatore di sicurezza nao_sec, sfrutta la vulnerabilità CVE-2018-15982 presente nelle versioni di Flash Player 31.0.0.153 e 31.0.0.108.
Se sfruttato con successo, l’exploit procede a scaricare e installare automaticamente il payload di Maze. Terminata l’installazione del payload, Maze provvede subito a modificare l’estensione dei file presenti sul sistema cifrandoli mediante l’algoritmo RSA-2048.
Tra i file cifrati, sarà presente un file denominato DECRYPT-FILES.txt contenente la nota di riscatto con le istruzioni su come aprire un sito web ospitato sulla rete TOR e procedere con il pagamento richiesto per l’acquisto della chiave privata necessaria per decriptare i file.
Ecco come appaiono i nostri file dopo essere stati criptati dal ransomware Maze e la relativa nota di riscatto.
Il ransomware Maze, inoltre, fornisce alle vittime un’interfaccia di decrittografia online che permette loro di decriptare tre dei loro file bloccati come prova che la procedura di sblocco è effettivamente possibile e funzionante.
In particolare, mediante questa interfaccia le vittime saranno invitate a caricare la nota di riscatto per ottenere ulteriori istruzioni su come recuperare i loro dati. Una volta che il parser degli aggressori riconosce la nota di riscatto, le vittime saranno reindirizzate a una pagina Web dove potranno testare lo strumento di sblocco dei file (sono supportati solo file immagine in formato BMP, JPG, GIF e PNG) e ottenere ulteriori informazioni su come acquistare Bitcoin per pagare il riscatto. Il cui valore raddoppia automaticamente se le vittime non pagano entro una settimana circa dal caricamento della nota di riscatto.
Sul sito di “supporto” del ransomware Maze, inoltre, è presente anche una chat di supporto per chiedere informazioni direttamente ai criminal hacker.
Le istruzioni per difendersi dagli attacchi ransomware
Al momento non è stato ancora rilasciato un tool per riuscire a decifrare i file bloccati senza pagare il riscatto. L’unico strumento di difesa, dunque, rimane la prevenzione.
Il primo passo da fare è dunque quello di aggiornare sia l’antivirus sia il sistema operativo, oltre ovviamente alla versione di Flash Player installata sul computer.
È di fondamentale importanza, poi, eseguire periodicamente un backup dei dati, cioè una copia dei propri file da ripristinare in caso di attacco. Chiaramente, tale backup deve essere archiviato su una macchina differente e non collegata alla stessa LAN.
Se si viene attaccati, invece, le buone pratiche di sicurezza informatica dicono che non bisogna mai pagare il riscatto, ma rivolgersi a un’azienda che si occupa di sicurezza informatica.
Infine, è utile applicare alcune semplici regole pratiche che ci possono aiutare a non cadere nella trappola dei ransomware:
- non aprire mai gli allegati di e-mail di dubbia provenienza. Nel dubbio è consigliabile chiedere al mittente se quella e-mail è autentica;
- fare attenzione alle e-mail provenienti anche da indirizzi noti (potrebbero essere stati hackerati secondo una modalità di falsificazione nota come quella dello spoofing);
- abilitare l’opzione Mostra estensioni nomi file nelle impostazioni di Windows: i file più pericolosi hanno l’estensione EXE, ZIP, JS, JAR, SCR ecc: se questa opzione è disabilitata non riusciremo a vedere la reale estensione del file;
- disabilitare la riproduzione automatica (“autorun”) di chiavette USB, CD/DVD e altri supporti esterni e, più in generale, evitare di inserire questi oggetti nel nostro computer se non siamo certi della provenienza;
- disabilitare l’esecuzione di macro da parte di componenti Office (Word, Excel, PowerPoint). Una macro malevola potrebbe essere contenuta in un allegato in formato Office e attivarsi automaticamente a seguito di un nostro clic;
- utilizzare – quando possibile – account senza diritti da amministratore: se viene violato un account con privilegi ed accessi di amministratore, l’attaccante potrà utilizzare gli stessi privilegi per compiere più azioni e fare maggiori danni.
