Ransomware: distruzione dati meglio della crittografia

Ransomware: distruzione dati meglio della crittografia

Invece di eseguire la cifratura, i cybercriminali distruggono i dati per costringere le vittime a pagare il riscatto dopo l'attacco ransomware.
Ransomware: distruzione dati meglio della crittografia
Invece di eseguire la cifratura, i cybercriminali distruggono i dati per costringere le vittime a pagare il riscatto dopo l'attacco ransomware.

Gli esperti di Cyderes hanno scoperto che i cybercriminali iniziano a preferire la distruzione dei dati durante un attacco ransomware, in quanto più redditizia della crittografia. Questa nuova tattica estorsiva è stata rilevata indagando su un recente attacco effettuato con BlackCat. Il tool Exmatter include ora un modulo che rende inaccessibili i file.

Maggiori profitti con la distruzione dei file

La catena di infezione è nota: ingresso nel sistema (ad esempio tramite phishing), furto dei dati, installazione del ransomware, cifratura dei file e richiesta di riscatto, minacciando la pubblicazione dei dati. Si tratta della classica doppia estorsione. I cybercriminali sfruttano spesso l’approccio RaaS (Ransomware-as-a-Service), in cui sviluppatori e affiliati si dividono i proventi illeciti.

Nel caso di BlackCat, il tool usato per l’esfiltrazione dei dati è Exmatter. Il suo compito è cercare file con specifiche estensioni nelle directory del sistema operativo e inviarli al server controllato dai cybercriminali, prima dell’esecuzione del ransomware. In una recente versione del tool è stata aggiunta la funzionalità Eraser.

Dopo l’invio dei file al server remoto, Exmatter sceglie due file a caso, prende la parte iniziale del secondo file e la sovrascrive alla parte iniziale del primo file. La procedura viene ripetuta per altre coppie di file. Al termine i file saranno inaccessibili. Sostituendo la crittografia con la distruzione dei dati si velocizza l’operazione.

Ci sono altri tre vantaggi. Usare file già presenti sul computer evita la rilevazione da parte degli antivirus. Inoltre non è più possibile creare un decryptor sulla base delle vulnerabilità presenti nel ransomware. Infine, solo i cybercriminali sono in possesso di una copia dei file originari, quindi le vittime sono più propense a pagare il riscatto (se non hanno nessun backup).

Link copiato negli appunti

Ti potrebbe interessare

Pubblicato il 26 set 2022
Link copiato negli appunti