I Ransomware ora prendono di mira anche i POS
SICUREZZA INFORMATICA

I Ransomware ora prendono di mira anche i POS

Un’altra arma che si aggiunge al già temibile arsenale del Ransomware, secondo i ricercatori di Symantec, infatti, l’infezione REvil (noto anche come Sodinokibi) è stato osservata scansionare le reti delle sue vittime in cerca di dispositivi POS.

REvil è uno dei più diffusi Ransomware-as-a-service (RaaS), ovvero viene venduto sul Dark Web in pacchetti “già pronti” per l’attacco, ed è noto per la sua grande abilità nel violare le reti aziendali utilizzando exploit, servizi di RDP vulnerabili, phishing, nonché Managed Service Provider già compromessi.

L’attacco

Nella loro ultima campagna, dopo aver ottenuto l’accesso alla rete di un bersaglio, i Criminal Hacker si sono diffusi lateralmente, rubando anche dati da server e workstation e successivamente criptando tutte le macchine della rete dopo aver ottenuto l’accesso amministrativo al Domain Controller.

Nell’ambito della campagna osservata dai ricercatori, gli aggressori dietro REvil hanno utilizzato il toolkit di Cobalt Strike per distribuire i vari payload sulle reti dei loro obiettivi.

In totale, i ricercatori hanno trovato Cobalt Strike sulle reti di otto aziende oggetto di questa campagna, con gli aggressori che hanno infettato e criptato tre aziende dei settori dei servizi, alimentare e sanitario con il Ransomware REvil.

Le imprese prese di mira in questa campagna erano principalmente grandi imprese, anche multinazionali, che sono state probabilmente prese di mira perché gli aggressori credevano che sarebbero state disposte a pagare un grosso riscatto per recuperare l’accesso ai loro sistemi.

A ciascuna delle vittime è stato chiesto di pagare 50mila dollari di criptovaluta Monero o 100mila dollari se fosse scaduto il termine di tre ore.

I Criminal Hacker di REvil hanno fatto del loro meglio per eludere il rilevamento dopo aver ottenuto l’accesso alle reti dei loro obiettivi, utilizzando infrastrutture ospitate su servizi legittimi come Pastebin (payload storage) e Amazon CloudFront (server di comando e controllo).

Hanno anche disabilitato il software di sicurezza per impedire che i loro attacchi venissero rilevati e hanno rubato le credenziali utilizzate in seguito per aggiungere degli account “rogue” come modo per ottenere la persistenza sulle macchine compromesse.

Scansioni per sistemi PoS

Mentre le aziende di servizi e dell’alimentare erano gli obiettivi perfetti, in quanto erano grandi organizzazioni in grado di pagare un ingente riscatto per far decifrare i loro sistemi, l’azienda del sanitario colpita era molto più piccola era un’organizzazione più piccola che non è riuscita a far fronte al riscatto.

In questo caso, probabilmente motivati dal fatto che c’era un’alta possibilità che la vittima non fosse in grado di pagare per il loro “decryptor”, gli operatori di REvil hanno anche scansionato la rete dell’organizzazione in cerca di sistemi PoS cercando di compensare con i dati delle carte di credito o come un ulteriore prezioso bersaglio da criptare.

Mentre molti degli elementi di questo attacco sono tattiche “tipiche” viste in precedenti attacchi con Sodinokibi, la scansione dei sistemi delle vittime per il software PoS è interessante, in quanto non è una cosa che si vede tipicamente accadere durante le classiche campagne Ransomware.

Sarà interessante vedere se questa è stata solo un’attività opportunistica o se è destinata a diventare una nuova tattica.

Come se non bastasse, all’inizio di questo mese, REvil ransomware ha anche lanciato un sito di aste per vendere i dati rubati delle loro vittime al miglior offerente.

Di Pierguido Iezzi, Co-Founder Swascan

© Italiaonline S.p.A. 2020Direzione e coordinamento di Libero Acquisition S.á r.l.P. IVA 03970540963