Attacchi Ransomware: il nuovo pericolo si chiama Play

Non c’è pace nel mondo della cybersecurity, poiché come vediamo sempre più spesso continuano ad aumentare le minacce in tutto il mondo e non solo a causa della guerra in corso. Anche il mondo dei ransomware, in costante movimento, prosegue nel suo aggiornamento per diventare sempre più pericoloso ed incisivo ed è così che vediamo sempre nuove forme di minacce. Sempre più spesso che in passato infatti assistiamo ad un cambiamento delle tecniche degli hacker nel produrre malware capaci di andare assegno in offensive sempre più mirate e non più generali.

Negli ultimi tempi sono apparsi infatti dei ransomware ad auto-propagazione come ad esempio LockBit, una delle minacce di cui talvolta abbiamo parlato anche in questo blog. Un ransomware come LockBit infatti utilizza tecniche aggiornate in grado di rubare informazioni in modo sempre più efficace scaricando credenziali e reimpostandole di proprio arbitrio per far perdere il controllo dei sistemi ai proprietari. Tra le tante nuove varianti di malware che nascono ogni anno ce n’è una che nel 2022 ha destato qualche preoccupazione in più delle altre. Il suo nome è Play ed il suo funzionamento è ancora sotto la lente d’ingrandimento poiché la sua composizione è diversa da tutti quelli in circolazione. C’è da dire che fortunatamente al momento il suo funzionamento è molto rudimentale, tuttavia gli esperti non hanno compreso la posizione della violazione. L’unica cosa che attualmente è chiara è che le vittime vengono esortate ad utilizzare una email presente nella nota di riscatto per chiedere informazioni sulle cifre da corrispondere per liberare i propri file.

La grossa fonte di preoccupazione per quel che riguarda Play è costituita sicuramente dalla sua natura di ransomware ad auto-propagazione, visto che per colpire le sue vittime utilizza un Server Message Block (SMB) che aiuta gli hacker a connettersi ai sistemi ed a propagare il malware. Il problema attualmente è il fatto di non capire esattamente il funzionamento di Play e perciò del pericolo di emulazione da parte di altri gruppi di hacker, che potrebbero aggiornare le loro minacce in modo da imitarlo ed aver più sicurezza di fare breccia. C’è da dire che Play è attualmente una minaccia che sembra mettere in pericolo esclusivamente i sistemi Microsoft e per questo motivo è possibile dare anche qualche consiglio per evitare il più possibile i rischi ad esso collegati.

In primis è necessario non utilizzare RDP su reti pubbliche per minimizzare i potenziali attacchi ma soprattutto utilizzare, sempre per tali sistemi, delle password di alto livello di robustezza. Ovviamente l’implementazione di una VPN è un fattore di estrema importanza ma allo stesso modo tali servizi dovranno essere costantemente aggiornati ogniqualvolta verranno rilasciate patch di correzione dei bug. Per capire se si è sotto attacco si consiglia anche un’analisi del traffico delle proprie macchine, questo perché i dettagli sul flusso in uscita può ricondurre agli attaccanti. In ultimo ma sicuramente non meno importante è necessario avvalersi di servizi di sicurezza basilari come i backup, da effettuare regolarmente, e soluzioni EPP ed EDR che consentono di bloccare le minacce nelle primissime fasi di presentazione e non ad attacco ormai diffuso.

 

Fonti: 1, 2