Nelle ultime settimane tornano a far parlare di sè due gruppi cyber criminali che hanno preso di mira anche enti e imprese italiane, si tratta di LockBit 3.0 Black e di BlackCat aka AlphV, che erano già stati segnalati dagli organi di stampa nella prima decade di luglio scorso.
Come tutti i ransomware si tratta di una tipologia di malware che viene introdotto all'interno di un'organizzazione e ne cifra i dati in esso contenuti, richiedendo poi alla vittima il pagamento di un riscatto per poterli decifrare.

I ricercatori del CRAM della TG Soft  Cyber Security Specialist hanno avuto modo di verificare le proprie tecnologie Euristico Comportamentali per il contrasto anche dalle varianti di queste famiglie tipologie di attacchi Ransomware ed, anche in questa occasione, tali tecnologie, rese disponibili dal 2015, si sono dimostrate efficaci ed efficienti per bloccare l'attacco informatico, avviato in qualsivoglia modalità, in automatico entro 100 millisecondi {1 decimo di secondo => un battito di ciglia} dall'avvio del processo di cifratura.

LockBit 3.0 Black

L'attacco di LockBit 3.0 Black  analizzato dai ricercatori del CentroRicercheAntiMalware (CRAM) dI TG Soft Cyber Security Specialist ha evidenziato che l'accesso da parte dei cyber criminali è avvenuto  via RDP esposto.
Come già segnalato nell'informativa sugli attacchi Ransomware con violazione degli accessi RDP, redatta nel 2017 e riproposta nel 2019, SCONSIGLIAMO vivamente A TUTTI di rendere disponibili accessi via RDP poiché è porta, ancora oggi, di possibile accesso a PC / Server da parte di "malintenzionati".

L'attacco analizzato ha veicolato il ransomware Lockbit 3.0 aka LockBit Black {28/10}, come evidenziato nell'immagine di lato e il {02/11} il Makop... entrambi sono stati bloccati  nella fase iniziale dell'attacco, dal sistema AntiRansomware di Vir.IT eXplorer PRO.
Il contatto con i cyber-criminali avviene via chat dagli URL indicati nelle istruzioni di riscatto.

Risultato dell'attacco...

Il tandem dei Ransomware utilizzati in questo caso Lockbit + Makop bloccati efficacemente nella fase iniziale dell'attacco dalle tecnologie Euristico-Comportamentali integrate nella suite Vir.IT eXplorer PRO...

Morale della storia

Tutte le macchine PC e/o Server dove era correttamente installato, configurato ed aggiornato Vir.IT eXplorer PRO hanno "parato" / MITIGATO efficacemente questo attacco di cifratura multiplo!

BlackCat / AlphV

Un' altra minaccia in circolazione è il ransomware BlackCat conosciuto anche come AlphV.

Di seguito qualche info di payload dagli Analisti del CRAM di TG Soft su BlackCat / ALPHV Ransomware.

Struttura file cifrati ransomware  BlackCat / ALPHV:

[NOME_FILE_ORIGINALE].[ESTENSIONE_originale].specifico/diverso per ogni azienda colpita

Evidenziamo che questo ransomware utilizza un'estensione diversa per ogni Azienda/Ente colpito.

Le istruzioni del riscatto sono rilasciate all'interno di ogni cartella dove il ransomware ha cifrato dei file. Il file di riscatto viene rilasciato in formato testo con struttura:

NomeFileRichiestaDiRiscattoStrRandom.txt

Dall'attacco che abbiamo simulato su una nostra infrastruttura reale con un sample recuperato da un attacco effettivo la protezione euristico-comporamentale di Vir.IT eXplorer PRO AntiRansomware protezione CryptoMalware è intervenuta nell'ordine dei 100 millisecondi {1/10° di secondo} dall'avvio del processo di cifratura. Per quei pochi file cifrati nella fase iniziale dell'attacco si provvede al loro recupero / ripristino attraverso i tools di RECUPERO & RIPRISTINO di Vir.IT eXplorer PRO, BackupOnTheFLY e/o Vir.IT Backup!

La macchina, da dove è stato avviato il processo malevolo simulando un attacco HumanOperatedRansomware Attack, è stata automaticamente isolata dal resto della rete di modo da evitare che l'attacco ransomware possa propagarsi all'intera infrastruttura, portando a terminazione il processo e garantendo la BusinessContinuity.

Naturalmente, come per qualsiasi altro software, la sua efficacia ed efficienza è subordinata ai 4 dogmi del buon uso:

1. Correttamente INSTALLATO su TUTTI i PC come anche sul/i Server anche se non dovessero essere utilizzati per la navigazione WEB;
2. Correttamente CONFIGURATO;
3. Correttamente AGGIORNATO;
4. e correttamente UTILIZZATO...

Vir.IT Anti-Ransomware protezione Crypto-Malware

TG Soft  ha sviluppato ed integrato già dal maggio 2015 nella suite Vir.IT eXplorer PRO UNICO prodotto con motore proprietario sviluppato al 100% in Italia, AntiVirus, AntiSpyware e AntiMalware, le tecnologie AntiRansomware protezione Crypto-Malware che, attraverso l'approccio euristico-comportamentale, sono in grado di bloccare il processo di cifratura nella fase iniziale dell'attacco salvando, mediamente, non meno del 99,63% dei file di dati che il Ransomware avrebbe potuto cifrare se non vi fosse stata questa protezione.

Inoltre come ultimo paracadute per qualche file di dati che eventualmente non fosse nè ripristinabile nè recuperabile dai tool integati di ripristino/recupero si potrà provvedere al loro ripristino da Vir.IT BackUp presente ed integrato sempre nella suite Vir.IT eXplorer PRO.
 

Per maggiori info su queste tecnologie che, è bene ricordarlo, sono al 100% sviluppate in Italia è possibile contattare la segreteria di TG Soft Cyber Security Specialist  scrivendo a segreteria@tgsoft.it o chiamando il numero diretto 049.8977432. 



C.R.A.M. 
Centro Ricerche Anti-Malware di TG Soft