L’azienda di sicurezza Kaspersky ha dichiarato venerdi di aver scoperto una versione Linux del ransomware RansomEXX, segnando per la prima volta il porting di un importante ceppo di ransomware Windows su Linux per aiutare nelle intrusioni mirate.
RansomEXX è un ceppo ransomware relativamente nuovo che è stato individuato per la prima volta quest’anno a giugno.
Il ransomware è stato utilizzato in attacchi contro il Dipartimento dei trasporti del Texas, Konica Minolta, l’appaltatore del governo degli Stati Uniti Tyler Technologies, il sistema di trasporto pubblico di Montreal e, più recentemente, contro il sistema giudiziario brasiliano (STJ).
RansomEXX è ciò che i ricercatori di sicurezza chiamano un “cacciatore di grossi giochi” o “ransomware azionato dall’uomo“. Questi due termini sono usati per descrivere i gruppi di ransomware che danno la caccia a grandi bersagli in cerca di grandi guadagni, sapendo che alcune aziende o agenzie governative non possono permettersi di rimanere inattivi mentre ripristinano i loro sistemi.
Questi gruppi acquistano da soli l’accesso o violano le reti, espandono l’accesso al maggior numero di sistemi possibile e quindi distribuiscono manualmente il loro binario ransomware come payload finale per paralizzare il più possibile l’infrastruttura del bersaglio.
Ma nell’ultimo anno, c’è stato un cambiamento di paradigma nel modo in cui questi gruppi operano.
Molte gang di ransomware si sono rese conto che attaccare prima le workstation non è un affare redditizio, poiché le aziende tenderanno a ricreare l’immagine dei sistemi interessati e ad andare avanti senza pagare i riscatti.
Negli ultimi mesi, in molti incidenti, alcune bande di ransomware non si sono preoccupate di crittografare le workstation e hanno innanzitutto mirato a server cruciali all’interno della rete di un’azienda, sapendo che smontando prima questi sistemi, le aziende non sarebbero in grado di accedere alla loro ricerca di dati centralizzata, anche se le workstation non sono state influenzate.
La banda RansomEXX che crea una versione Linux del loro ransomware Windows è in sintonia con quante aziende operano oggi, con molte aziende che eseguono sistemi interni su Linux e non sempre su Windows Server.
Una versione Linux ha perfettamente senso dal punto di vista di un utente malintenzionato; cercando sempre di espandere e toccare quanta più infrastruttura di base possibile nella loro ricerca per paralizzare le aziende e chiedere riscatti più elevati.
Ciò che vediamo da RansomEXX potrebbe presto rivelarsi una tendenza che definisce il settore, con altri grandi gruppi di ransomware che lanciano le loro versioni Linux anche in futuro.
E questa tendenza sembra essere già iniziata. Secondo la società di sicurezza informatica Emsisoft, oltre a RansomEXX, la banda di ransomware Mespinoza (Pysa) ha recentemente sviluppato una variante Linux dalla loro versione iniziale di Windows.
Ma anche il ransomware Linux non è unico. Negli ultimi anni, altre gang di ransomware hanno creato anche ceppi di ransomware Linux, come il gruppo Snatch. Tuttavia, quei gruppi erano operazioni di piccole dimensioni che si basavano su campagne di spam per infettare le vittime, raramente hanno avuto successo e non hanno intrapreso intrusioni mirate come l’attuale generazione di gruppi ransomware che vediamo oggi.
Emsisoft afferma che le varianti Linux RansomEXX che hanno rilevato sono state viste già a luglio. La configurazione dei sistemi per rilevare le varianti di RansomEXX Linux non è una strategia solida a causa del modo in cui operano le squadre di ransomware di cacciatori di grandi dimensioni. Nel momento in cui gli aggressori implementano il ransomware, possiedono già la maggior parte della rete di un’azienda. La migliore strategia che le aziende possono adottare contro questi tipi di intrusioni è quella di proteggere i perimetri di rete applicando patch di sicurezza ai dispositivi gateway e assicurandosi che non siano configurati male con credenziali deboli o predefinite.
