Cos'è BlackCat Ransomware? L'FBI ha recentemente emesso un avvertimento su un nuovo ceppo di ransomware noto come BlackCat Ransomware (alias Noberus e AlphaV) che sta distruggendo le aziende e i computer personali in tutto il mondo (operando principalmente negli Stati Uniti). Gli agenti dell'FBI sono preoccupati che BlackCat possa diventare un serio problema per le aziende se non controllato. Mentre la maggior parte delle aziende hanno forti sistemi di sicurezza in atto per tenere fuori gli hacker, potrebbero non essere preparati per un attacco come questo.

Potete leggere l'articolo completo di Forbes, qui.

BlackCat Ransomware: Una nuova banda di ransomware è a piede libero  

BlackCat utilizza tecniche di crittografia simili a quelle di altri tipi di ransomware, ma aggiunge anche alcune misure di sicurezza aggiuntive per rendere più difficile la decrittazione dei file se vengono criptati. Questo include l'utilizzo di due diversi algoritmi di crittografia e l'assicurarsi che la chiave di decrittazione non sia mai memorizzata sulla stessa unità dei file crittografati.

I creatori di BlackCat sembrano prendere di mira le aziende e le organizzazioni piuttosto che gli individui, il che ha senso, dato che questi tipi di organizzazioni tendono ad essere più disposti a pagare il riscatto rispetto agli individui.

BlackCat è un gruppo di criminali informatici che prende di mira le imprese per rubare la loro proprietà intellettuale e le informazioni personali. È noto per prendere di mira le imprese nei settori dell'edilizia e dell'ingegneria, della vendita al dettaglio, dei trasporti, dei servizi commerciali, delle assicurazioni e dei macchinari.

Il gruppo ha anche attaccato organizzazioni in Europa e nelle Filippine. Il maggior numero delle sue vittime finora sono dagli Stati Uniti, ma questo potrebbe cambiare man mano che continua ad espandere la sua portata in tutto il mondo.

D

Cos'è BlackCat Ransomware: Un Ransomware-as-a-Service (RaaS)

BlackCat Ransomware è un modello di business ransomware-as-a-service (RaaS) che si basa su una struttura di marketing affiliato. Operare come modello di business RaaS significa che BlackCat non ospita o distribuisce direttamente il malware, ma si affida a terzi per farlo al posto loro. Operare in questo modo permette a BlackCat di evitare la responsabilità legale e lo aiuta anche ad evitare il rilevamento da parte del software antivirus.

Cos'è il Ransomware-as-a-Service? 

Ransomware-as-a-service (RaaS) è un tipo relativamente nuovo di cyberattacco che permette a chiunque di acquistare software maligno e usarlo per tenere i file in ostaggio, di solito, fino a quando un riscatto viene pagato.

RaaS è estremamente redditizio per gli hacker perché possono affittare il loro software ransomware ad altri criminali senza doversi preoccupare di essere catturati dalle forze dell'ordine, come farebbero se stessero eseguendo i propri attacchi.

RaaS opera attraverso l'uso di programmi di "affiliazione", che sono essenzialmente programmi che permettono alle persone di guadagnare soldi diffondendo malware. Gli affiliati vengono pagati per ogni vittima che infettano e per ogni volta che il malware genera entrate. Più successo ha un affiliato nel diffondere RaaS, più soldi può guadagnare.

Come funziona?

Il ransomware è tipicamente consegnato via e-mail o attraverso un sito web che è stato violato. Il malware quindi cripta tutti i file dell'utente e visualizza un avviso che afferma che l'utente ha violato le leggi federali, con il risultato che il suo computer viene bloccato. L'aggressore informa quindi l'utente che può sbloccare il suo computer pagando una tassa di riscatto, di solito tra i 200 e i 600 dollari, tramite bitcoin o un'altra criptovaluta.

Il motivo per cui i criminali RaaS sono in grado di farla franca con questo tipo di truffa è che la maggior parte delle vittime non lo segnalano quando vengono infettate dal ransomware; invece, cercano di risolvere il problema da soli pagando il riscatto e sperando per il meglio.

Hai bisogno di protezione contro gli attacchi ransomware? Leggi di più su DMARC e Ransomware qui.

L'anatomia di BlackCat Ransomware

Il ransomware è considerato un metodo di infezione sofisticato e ha il potenziale di rendere inutilizzabile un host infetto. Potrebbe causare gravi danni a un'organizzazione se non viene rilevato rapidamente. Il ransomware BlackCat è stato scaricato tramite file di Microsoft Office contenenti un eseguibile maligno incorporato. Il payload contiene codice che permette al malware di diffondersi attraverso la rete compromessa, prendendo di mira sia i sistemi Windows che Linux.

Il ransomware BlackCat è descritto come un attacco "a più fasi" con l'obiettivo di sfruttare gli account utente e amministratore di Active Directory (AD) per crittografare i file sui computer mirati. Inoltre, il ransomware BlackCat/ALPHV sfrutta le credenziali utente precedentemente compromesse per ottenere l'accesso iniziale al sistema della vittima.

Come prevenire BlackCat Ransomware?

Passaggi manuali per prevenire gli attacchi di BlackCat Ransomware:

1. Aggiorna il tuo software regolarmente. Il ransomware di solito prende di mira i sistemi più vecchi o quelli che non sono stati aggiornati da un po', quindi assicurati di sapere quale software è in esecuzione sul tuo computer, e assicurati che sia aggiornato.
2. Eseguite regolarmente il backup di tutti i vostri file e conservateli in due posti diversi (come su due diversi hard disk esterni). In questo modo se un disco si guasta o viene infettato da malware, avrai ancora copie di tutti i tuoi file da qualche altra parte su un altro disco o nel cloud da qualche parte al sicuro!
3. Usa password forti che non vengono riutilizzate da nessun'altra parte (specialmente non più volte su diversi account) e non cliccare mai su link inviati tramite e-mail, anche se sembrano provenire da qualcuno di cui ti fidi!
4. Non pagate il riscatto! Pagare i criminali è solo buttare via i soldi. L'unico modo in cui sbloccheranno i tuoi dati (dicono) è che tu li paghi prima, ma stanno mentendo! Non cascarci!
5. Prova a usare lo strumento di recupero file integrato in Windows per ripristinare i tuoi file dalle copie ombra (un sistema di backup). Potrebbe non funzionare il 100% delle volte, ma vale sicuramente la pena provare! Puoi trovare questo strumento sotto "Ripristino del sistema" nel tuo pannello di controllo (cerca "Ripristino del sistema" se non lo vedi subito).

Strumenti che puoi distribuire per prevenire gli attacchi di BlackCat Ransomware:

1. La buona notizia è che c'è una tecnologia emergente che può aiutarti a proteggere la tua azienda dal ransomware BlackCat: DMARC.

A politica DMARC permette ai mittenti di dire ai server di ricezione se i messaggi e-mail sono legittimi o meno. Questo significa che se un aggressore cerca di inviare un'email di phishing con codice dannoso allegato, il server del destinatario saprà che non proviene dal legittimo proprietario del dominio e può rifiutarla prima che venga fatto qualsiasi danno.

Ottieni il tuo analizzatore DMARC oggi.

2. L'autenticazione a più fattori (MFA) è un modo per tenere gli hacker fuori dai tuoi account mentre ti permette di accedervi liberamente. Usando due o più informazioni per verificare la tua identità, è molto più difficile per qualcuno che ha rubato la tua password o altre informazioni di identificazione entrare nel tuo account senza essere rilevato dall'MFA.

3. I firewall possono proteggere contro molti attacchi ransomware BlackCat. Un firewall è un software che lavora con il tuo sistema operativo per bloccare l'accesso non autorizzato al tuo computer, che include l'accesso da parte di codice maligno come il ransomware. La maggior parte dei sistemi operativi include i firewall, ma se non ne hai uno o vuoi un ulteriore livello di protezione, ci sono molte opzioni gratuite là fuori e molte sono facili da installare.