Si chiama NamPoHyu Virus (ma è conosciuto anche col nome di MegaLocker Virus) il nuovo ransomware che non colpisce singoli computer, ma individua server Samba “aperti” o ai quali riesce ad accedere forzando le password con un attacco di tipo brute force e quindi cripta a distanza i file archiviati creando anche la nota di riscatto.
La scelta di colpire i server Samba non è causale: effettuando una semplice ricerca con Shodan, il motore di ricerca dedicato proprio ai dispositivi collegati a Internet, è infatti possibile individuare oltre 500.000 server Samba accessibili da remoto in quanto non presentano alcun sistema di autenticazione abilitato.
NamPoHyu Virus rappresenta dunque una novità rispetto alle altre minacce di questo tipo grazie a questa nuova tecnica infettiva: in pratica, anziché avviare la catena infettiva direttamente sui singoli computer, scaricando il codice malevolo mediante altri malware, allegati di posta elettronica dannosi o violando direttamente il sistema o la rete locale a cui è collegato, i criminal hacker eseguono il ransomware in locale e poi criptano i file archiviati sul server Samba compromesso.
Indice degli argomenti
NamPoHyu Virus: analisi del ransomware
Le prime tracce della catena infettiva del ransomware NamPoHyu Virus sono comparse nel marzo 2019, quando alcuni utenti hanno iniziato a segnalare che i loro dispositivi di archiviazione NAS erano stati improvvisamente criptati da un ransomware chiamato MegaLocker Virus.
Il ransomware aggiungeva l’estensione .crypted ai file criptati e creava note di riscatto archiviandole in un file di testo denominato !DECRYPT_INSTRUCTION.TXT. Al suo interno c’erano le istruzioni per contattare un certo alexshkipper@mail.ru, probabilmente un nickname utilizzato dal creatore del ransomware NamPoHyu Virus.
In allegato al messaggio di posta, la vittima doveva inviare una sua foto di compleanno, di una sua vacanza, mentre era impegnato nel suo hobby preferito o era ritratto in qualche altro evento personale. Dimostrando di essere un utente privato, alla vittima veniva quindi richiesto di pagare un riscatto di 250 dollari per rientrare in possesso dei suoi file. Qualora, invece, il NAS era utilizzato in ambito aziendale, il riscatto era di 1.000 dollari.
Nei primi giorni di aprile, invece, come indicato dai ricercatori del MalwareHunter Team, altri utenti hanno iniziato a segnalare che i file archiviati nei loro NAS erano stati criptati e rinominati con l’estensione .NamPoHyu. Il file di testo contenente la nota di riscatto è rimasto identico, ma al suo interno viene ora indicato un sito accessibile sulla rete TOR per il pagamento del riscatto. Visitandolo, alla vittima viene comunicato di inviare un’e-mail all’indirizzo alexshkipper@firemail.cc contenente l’ID utente generato automaticamente al momento dell’infezione e indicato nella nota di riscatto contenente le istruzioni di pagamento.
Sono rimasti identici anche gli importi del riscatto: 250 dollari per le vittime “private” e 1.000 dollari in Bitcoin per le aziende.
Ecco come proteggersi dal ransomware NamPoHyu
Secondo Marco Rizzi, Information e Cyber security Advisor presso P4I – Partners4Innovation, “di interesse in questa nuova minaccia è sicuramente la modalità di attacco: un ransomware in teleassistenza. In questo caso il problema non è tanto fare attenzione a non installare codice malevole, quanto il chiudere le porte di accesso e le comunicazioni col mondo esterno”.
“La vittima? Il protocollo Samba, quello di WannaCry, per intenderci”, continua l’analista nella sua analisi. “Protocollo valido e molto impiegato per condividere cartelle, stampanti in rete e far parlare sistemi operativi diversi. Necessario, però, prestare attenzione all’utilizzo che ne viene fatto, ad esempio seguendo questi punti chiave:
- primo: è uno strumento di condivisione fatto per reti LAN interne, non per gestire gli accessi a cartelle condivise da Internet. In quest’ultimo caso, usiamo altri strumenti, più adatti.
- secondo: abilitiamo l’autenticazione per l’accesso alla condivisione: noiosa, ma sempre rigorosamente obbligatoria;
- terzo: disabilitiamo il servizio sui sistemi, se non in uso (hardening…);
- quarto: manteniamo il servizio aggiornato. Ci sono diverse vulnerabilità, anche recenti e relative patch;
- quinto: usiamo il backup, e gestiamo le copie in maniera sicura”.
Diego Gagliardo, Chief Operating Officer di Endian, ci dice invece che “spesso si pensa che aprire i propri servizi su internet per raggiungere i propri device o file da remoto non comporti particolare rischio, perchè pensiamo “tanto nessuno conosce il mio indirizzo IP o sa che ho il servizio aperto. In realtà molti ignorano che esistono servizi, come zoomeye.org, che fanno scansioni su intere classi di IP per trovare porte aperte e software in ascolto, e mettono i risultati a disposizione di chiunque nel mondo. Mai aprire servizi verso l’esterno se non è strettamente necessario, e dove possibile utilizzare connessioni protette e criptate (VPN)”.
Al momento, i ricercatori di sicurezza sono al lavoro per trovare il modo di decriptare i file infettati dal ransomware NamPoHyu. In attesa del rilascio di un decryptor tool, è importante utilizzare buone abitudini informatiche e software di sicurezza specializzati per prevenire un’eventuale infezione.
Innanzitutto, è fondamentale avere sempre un backup affidabile e testato dei nostri dati più importanti da ripristinare in caso di emergenza.
Nel caso specifico del ransomware NamPoHyu è inoltre necessario assicurarsi di non avere computer che eseguono servizi desktop remoti collegati direttamente a Internet. Al contrario, i computer con desktop remoto devono essere posizionati dietro una VPN in modo che siano accessibili solo a coloro che hanno account sulla rete locale. La recente scoperta di una vulnerabilità nelle VPN ci ricorda, inoltre, di affidarci a soluzioni che utilizzino la crittografia per proteggere il traffico dati.
L’analisi della catena infettiva di MegaLocker prima e NamPoHyu dopo, inoltre, suggerisce di proteggere anche servizi di rete come FTP o Samba, utilizzando password forti ed evitando, preferibilmente, di esporli per l’accesso via Internet.
È importante anche utilizzare una buona soluzione software di sicurezza che utilizzi l’analisi comportamentale per individuare possibili minacce non ancora identificate, oltre al consueto utilizzo basato sulle firme virali e sul controllo di tipo euristico. Ad esempio, Malwarebytes contiene un rilevamento comportamentale che può impedire a molte (se non alla maggior parte) delle infezioni da ransomware di crittografare i file archiviati nell’hard disk di un computer.
Infine, ma non meno importanti, è necessario adottare le tipiche best practice di sicurezza:
- non aprire gli allegati se non si conosce chi li ha inviati;
- utilizzare un antivirus online per aggiungere un secondo livello di sicurezza oltre a quello garantito dai software di sicurezza installati sul PC;
- assicurarsi che tutti gli aggiornamenti di Windows siano installati non appena escono. Così come è importante aggiornare tutti i programmi, in particolare Java, Flash e Adobe Reader. I programmi più vecchi contengono vulnerabilità di sicurezza che sono comunemente sfruttate dai distributori di malware. Pertanto, è importante mantenerli aggiornati;
- utilizzare password robuste per l’accesso alle risorse di rete e, ovviamente, non riutilizzare mai la stessa password per più servizi.
