WastedLocker: Ransomware di ultima generazione
Home » WastedLocker: Ransomware di ultima generazione

WastedLocker: Ransomware di ultima generazione
Tempo di lettura: 6 min
WastedLocker e’ un software per attacchi ransomware che ha iniziato a colpire imprese e altre organizzazioni nel maggio 2020. E’ noto per le sue elevate richieste di riscatto che raggiungono milioni di dollari per vittima. E’ il prodotto di un gruppo di criminali informatici altamente qualificati che operano da oltre un decennio: Evil Corp.
Chi c’e’ dietro a WastedLocker Ransomware
Il gruppo dietro a WastedLocker si fa chiamare Evil Corp e alcuni degli individui ad esso associati hanno una lunga storia nel mondo del cyber crime. Il gruppo e’ meglio conosciuto per aver gestito il malware e la botnet Dridex dal 2011, ma e’ stato anche responsabile della creazione di programmi ransomware nel corso degli anni.
Attraverso vari episodi di attacchi criminali, il gruppo ha sviluppato fin dal 2011 malware diretti soprattutto alle aziende statunitensi. Sono per questo noti alle forze dell’ordine gia’ da tempo. Dopo un periodo di inattivita’, il gruppo e’ ricomparso a gennaio del 2020 e la loro attivita’ e’ ripresa come al solito, con vittime che compaiono nelle stesse regioni di prima.
WastedLocker e’ un programma completamente nuovo della Evil Corp che ha iniziato a infettare le organizzazioni a maggio 2020. Non condivide il codice con BitPaymer (un software precedentemente usato) ma mostra altre similitudini nella nota del riscatto e nella personalizzazione per-victim. La mancanza di attivita’ della Evil Corp tra marzo e maggio potrebbe essere spiegata dal gruppo che stava lavorando allo sviluppo di questa nuova cyber threat cosi’ come di altri tools che compongono il suo set di strumenti.
Come funziona
Secondo i rapporti di Symantec, la catena di infezione per WastedLocker inizia con un framework di attacco basato su JavaScript. Il framework, chiamato SocGholish, viene distribuito come un falso aggiornamento del browser da avvisi visualizzati su siti web legittimi ma compromessi. I siti web di notizie hackerate sono un vettore comune.
Il framework SocGholish e’ distribuito come file ZIP. Una volta aperto ed eseguito, avvia una catena di attacchi che comporta il download e l’esecuzione di script PowerShell e la backdoor di Cobalt Strike. La Evil Corp ha usato questa stessa tecnica di distribuzione in passato per distribuire il Dridex Trojan, quindi fa parte del suo arsenale da molto tempo.
Una volta che gli hacker hanno accesso ad un computer, iniziano a distribuire vari strumenti per rubare credenziali degli utenti. Inoltre, possono anche aumentare i privilegi ed effettuare un lateral movement verso altre macchine. L’obiettivo degli aggressori e’ quello di identificare e ottenere l’accesso a sistemi di alto valore come i server. In seguito implementano sulle macchine compromesse un file binario ad hoc per le vittime.
L’uso di strumenti di hacking manuale e di amministrazione di sistema fanno parte di una tendenza osservata negli ultimi anni. Secondo questo trend, i criminali informatici stanno adottando sempre piu’ spesso tecniche di attacco che in passato erano associate all’attivita’ di spionaggio informatico. Questa tendenza pone un serio problema per le organizzazioni piu’ piccole che non hanno i budget e le risorse IT per dispiegare le difese contro minacce avanzate, ma sono un bersaglio frequente per i gruppi del ransomware e altri cybercriminali finanziariamente motivati.
WestedLocker nel dettaglio
WastedLocker usa una combinazione di crittografia AES e RSA nella sua routine di crittografia che e’ simile ad altri programmi ransomware. Ogni file e’ criptato con una chiave AES a 256 bit unica generata on-the-fly. Queste chiavi AES insieme ad altre informazioni sui file criptati sono poi criptate con una chiave RSA pubblica a 4096-bit che e’ codificata nel binario WastedLocker. Gli aggressori conservano la parte privata della coppia di chiavi RSA necessaria per recuperare le chiavi AES e decrittare i singoli file.
Secondo un’analisi di Kaspersky Lab, la routine di cifratura e’ forte e correttamente implementata. Quindi le vittime non possono recuperare i loro file senza la chiave RSA privata dell’aggressore. Poiche’ si tratta di una minaccia ransomware distribuita manualmente e personalizzata per ogni bersaglio, gli aggressori generano coppie di chiavi RSA uniche per ogni vittima. Cioe’, la chiave ricevuta da un’organizzazione dopo aver pagato il riscatto non funzionera’ per decriptare i file di un’altra organizzazione colpita.
Alcuni aspetti distintivi di WastedLocker
Il WastedLocker ransomware ha un meccanismo che permette agli aggressori di dare priorita’ a certe directory durante la routine di cifratura. Questo e’ probabilmente usato per assicurare che i file piu’ importanti e preziosi vengano cifrati prima nel caso in cui il processo di cifratura venga rilevato dagli amministratori di sistema e fermato mentre e’ in corso.
Il malware appende un’estensione ai file composta dal nome della vittima e la parola “wasted“. Inoltre, genera un file di testo con la nota di riscatto per ogni file, il che significa che ogni directory conterra’ centinaia o migliaia di copie della nota di riscatto.
WastedLocker e’ progettato per cancellare le copie shadow (i backup di default fatti dal sistema operativo Windows) e cerca di criptare i file in rete, inclusi i backup remoti.
Dopo gli attacchi di luglio 2020
Il Securonix Threat Research Team (STR) sta attivamente indagando sui dettagli degli attacchi critici di Wastedlocker ransomware. Questi, secondo quanto riferito, hanno gia’ colpito piu’ di 31 aziende, di cui 8 sono aziende Fortune 500.
Impatto
Ecco i dettagli chiave riguardanti l’impatto degli attacchi ransomware WastedLocker:
– Il ransomware WastedLocker e’ relativamente nuovo, usato da EvilCorp, che in precedenza usava il trojan Dridex per distribuire il ransomware BitPaymer in attacchi contro organizzazioni governative e imprese negli Stati Uniti e in Europa.
– Il gruppo Evil Corp si concentra attualmente su attacchi mirati su molteplici vittime dell’industria negli ultimi mesi. Garmin e’ una delle ultime vittime di alto profilo attaccate (confermato ufficialmente da Garmin il 27 luglio).
– L’importo del riscatto piu’ recente richiesto e’ stato di 10 milioni di dollari e sembra essere basato sui dati finanziari della vittima. In base ai dettagli disponibili, il riscatto e’ stato probabilmente pagato.
– Ad oggi, sembra essere stato utilizzato uno schema di mono-estorsione, cioe’ con la sola crittografia e nessuna o minima perdita di dati.
Come difendersi
In seguito all’analisi degli attacchi e dei dati a disposizione, vogliamo suggerire metodologie di mitigazione e prevenzione degli attacchi.
– Rivedere le politiche di conservazione dei backup. Assicurarsi che questi siano archiviati in una posizione che non puo’ essere acceduta/criptata dall’operatore che ha piazzato il ransomware mirato. Per esempio, valutare il write-only remote backup.
– Implementare un programma di formazione sulla sicurezza degli utenti finali (dipendenti dell’azienda). Dato che gli utenti finali sono i bersagli del ransomware, e’ meglio che questi siano al corrente dei rischi attuali. E’ importante che siano consapevoli della minaccia del ransomware e di come si verifica.
– Patch dei sistemi operativi, software e firmware dell’infrastruttura. Considerare la possibilita’ di sfruttare un sistema di gestione delle patch centralizzato.
– Mantenere backup regolari e con air-gap dei dati critici dell’azienda/infrastruttura. Una strategia di backup e recupero con air-gap significa assicurarsi che almeno una copia dei dati dell’organizzazione sia offline e non accessibile da alcuna rete.
– Implementare il monitoraggio della sicurezza, in particolare per gli obiettivi di alto valore, per rilevare in anticipo eventuali attivita’ di posizionamento di operatori ransomware dannosi.
Come sempre, noi di SOD siamo a disposizione per una consulenza e per suggerirti quali servizi puoi implementare per la sicurezza della tua azienda. Contattaci per sapere come possiamo aiutarti a mantenere alte le difese aziendali.
Link utili:
Condividi
RSS
Piu’ articoli…
- Zero-Day attack: cosa sono e come difendersi con SOCaaS
- Sistema di monitoraggio, una panoramica
- Data Exfiltration: difesa dal furto di dati
- Installare un certificato Let’s Encrypt su macchina Debian based
- WastedLocker: Ransomware di ultima generazione
- Proteggere un sito in WordPress: pacchetto sicurezza
- Ransomware critici: esempi di attacchi andati a segno
- Iniziative sociali di Secure Online Desktop
Categorie …
- Backup as a Service (3)
- Cloud CRM (1)
- Cloud Server/VPS (22)
- Conferenza Cloud (4)
- Log Management (2)
- Monitoraggio ICT (4)
- Novita' (11)
- ownCloud (7)
- Privacy (7)
- Secure Online Desktop (14)
- Security (5)
- SOCaaS (9)
- Vulnerabilita' (82)
- Web Hosting (13)
Tags
CSIRT
- Attacchi verso servizi Cloud
(BL01/210115/CSIRT-ITA) Gennaio 15, 2021Rilevati attacchi verso piattaforme cloud afferenti a varie organizzazioni in tutto il mondo.
- SQL Injection su prodotti Fortinet
(AL02/210115/CSIRT-ITA) Gennaio 15, 2021Identificata una vulnerabilità su prodotti Fortinet che potrebbe consentire a un attaccante remoto l’esecuzione di comandi arbitrari.
- Vulnerabilità su prodotti Cisco
(AL01/210115/CSIRT-ITA) Gennaio 15, 2021Cisco ha rilasciato di recente degli avvisi di sicurezza relativi a vulnerabilità con impatto medio e alto su diversi prodotti.
- Tecniche utilizzate dagli spammer per identificare account email attivi
(BL01/210114/CSIRT-ITA) Gennaio 14, 2021Per rendere maggiormente efficaci le campagne di spam e/o di phishing, gli attaccanti hanno necessità di confermare l’effettiva esistenza e l’utilizzo delle caselle email obiettivo. Il presente bollettino descrive due delle tecniche più comuni, fra l’altro inizialmente concepite per scopi leciti.
- Aggiornamenti Mensili Microsoft
(AL01/210114/CSIRT-ITA) Gennaio 14, 2021Microsoft ha rilasciato gli aggiornamenti di sicurezza mensili che risolvono un totale di 83 vulnerabilità, 10 delle quali di livello critico.
- Nuovo malware Android Rougue RAT
(AL01/210113/CSIRT-ITA) Gennaio 13, 2021In vendita sul dark-web, a prezzi popolari, un nuovo tipo di malware Android denominato Rougue RAT.
- Nuova campagna mondiale di phishing/smishing
(AL01/210112/CSIRT-ITA) Gennaio 12, 2021Rilevata una campagna di smishing/phishing che simula comunicazioni provenienti da fornitori di servizi tra i quali Gmail, Yahoo e Outlook.
- La Settimana Cibernetica del 10 gennaio 2021 Gennaio 11, 2021Il riepilogo delle notizie pubblicate dallo CSIRT italiano dal 04 gennaio 2021 al 10 gennaio 2021.
- Vulnerabilità su dispositivi Netgear
(AL03/210108/CSIRT-ITA) Gennaio 8, 2021Identificata una vulnerabilità con impatto su diversi prodotti Netgear.
- Vulnerabilità su dispositivi Belkin
(AL02/210108/CSIRT-ITA) Gennaio 8, 2021La falla permetterebbe l’esecuzione di codice arbitrario da remoto da parte di utenti non autorizzati.
Dark Reading:
- NSA Appoints Rob Joyce as Cyber Director Gennaio 15, 2021Joyce has long worked in US cybersecurity leadership, most recently serving as the NSA's top representative in the UK.
- Successful Malware Incidents Rise as Attackers Shift Tactics Gennaio 15, 2021As employees moved to working from home and on mobile devices, attackers followed them and focused on weekend attacks, a security firm says.
- How to Achieve Collaboration Tool Compliance Gennaio 15, 2021Organizations must fully understand the regulatory guidance on collaboration security and privacy so they can continue to implement and expand their use of tools such as Zoom and Teams.
- Name That Toon: Before I Go ... Gennaio 15, 2021Feeling creative? Submit your caption in the comments, and our panel of experts will reward the winner with a $25 Amazon gift card.
- These Kids Are All Right Gennaio 15, 2021Faculty and students at the William E. Doar School for the Performing Arts in Washington, D.C. created "Cyberspace," a rap song about online safety as part of the NSA's national STOP. THINK. CONNECT. campaign back in 2012. Wonder how many went into security.
- Shifting Privacy Landscape, Disruptive Technologies Will Test Businesses Gennaio 14, 2021A new machine learning tool aims to mine privacy policies on behalf of users.
- 'Chimera' Threat Group Abuses Microsoft & Google Cloud Services Gennaio 14, 2021Researchers detail a new threat group targeting cloud services to achieve goals aligning with Chinese interests.
- Businesses Struggle with Cloud Availability as Attackers Take Aim Gennaio 14, 2021Researchers find organizations struggle with availability for cloud applications as government officials warn of cloud-focused cyberattacks.
- NSA Recommends Using Only 'Designated' DNS Resolvers Gennaio 14, 2021Agency provides guidelines on securely deploying DNS over HTTPS, aka DoH.
- Who Is Responsible for Protecting Physical Security Systems From Cyberattacks? Gennaio 14, 2021It's a question that continues to engage debate, as the majority of new physical security devices being installed are now connected to a network. While this offers myriad benefits, it also raises the question: Who is responsible for their cybersecurity?
Full Disclosure
- SEC Consult SA-20210113-1 :: Multiple vulnerabilities in flatCore CMS Gennaio 13, 2021Posted by SEC Consult Vulnerability Lab on Jan 13SEC Consult Vulnerability Lab Security Advisory < 20210113-1 > ======================================================================= title: Multiple Vulnerabilities product: flatCore CMS vulnerable version: < 2.0.0 Build 139 fixed version: Release 2.0.0 Build 139 CVE number: CVE-2021-23835, CVE-2021-23836, CVE-2021-23837, CVE-2021-23838 impact: High homepage:...
- SEC Consult SA-20210113-0 :: Multiple vulnerabilities in Pepperl+Fuchs IO-Link Master Series Gennaio 13, 2021Posted by SEC Consult Vulnerability Lab on Jan 13SEC Consult Vulnerability Lab Security Advisory < 20210113-0 > ======================================================================= title: Multiple vulnerabilities product: Pepperl+Fuchs IO-Link Master Series See "Vulnerable / tested versions" vulnerable version: System 1.36 / Application 1.5.28 fixed version: System 1.52 / Application 1.6.11 CVE number:...
- Backdoor.Win32.Zombam.a / Remote Stack Buffer Overflow Gennaio 13, 2021Posted by malvuln on Jan 12Discovery / credits: malvuln - Malvuln.com (c) 2021 Original source: https://malvuln.com/advisory/6c5081e9b65a52963b0b1ae612ef7eb4.txt Contact: malvuln13 () gmail com Media: twitter.com/malvuln Threat: Backdoor.Win32.Zombam.a Vulnerability: Remote Stack Buffer Overflow Description: The malware listens on TCP port 80, sending an HTTP GET request with 300 or more bytes will trigger buffer overflow overwriting EIP. Type: […]
- Backdoor.Win32.Levelone.b / Remote Stack Buffer Overflow Gennaio 13, 2021Posted by malvuln on Jan 12Discovery / credits: malvuln - Malvuln.com (c) 2021 Original source: https://malvuln.com/advisory/3f82e6ddc9f5242f5af200d2fbae4ce4.txt Contact: malvuln13 () gmail com Media: twitter.com/malvuln Threat: Backdoor.Win32.Levelone.b Vulnerability: Remote Stack Buffer Overflow Description: The backdoor listens on Port 7777, sending two large consecutive HTTP OPTIONS requests trigger the buffer overflow overwriting EIP. Type: PE32 MD5:...
- Backdoor.Win32.Levelone.a / Remote Stack Buffer Overflow Gennaio 13, 2021Posted by malvuln on Jan 12Discovery / credits: malvuln - Malvuln.com (c) 2021 Original source: https://malvuln.com/advisory/6a2d09c4527cf222e4e2571b074fcc0c.txt Contact: malvuln13 () gmail com Media: twitter.com/malvuln Threat: Backdoor.Win32.Levelone.a Vulnerability: Remote Stack Buffer Overflow Description: The malware listens on Port 1500, sending a specially crafted HTTP TRACE request causes a buffer overflow and overwrites EIP with our payload. If […]
- Backdoor.Win32.Ketch.b / Remote Stack Buffer Overflow Gennaio 13, 2021Posted by malvuln on Jan 12Discovery / credits: malvuln - Malvuln.com (c) 2021 Original source: https://malvuln.com/advisory/9d7be3799594a82bf7056905f501af03.txt Contact: malvuln13 () gmail com Media: twitter.com/malvuln Threat: Backdoor.Win32.Ketch.b Vulnerability: Remote Stack Buffer Overflow Description: Makes HTTP GET request for a file "script.dat", and writes the server response to temporary file named "watchb.tmp" under c:\Windows dir. At 1032...
- Re: Backdoor.Win32.Xtreme.yvp / Insecure Permissions EoP Gennaio 13, 2021Posted by bo0od on Jan 12When you say backdoor, you mean backdoor which microsoft remotely using it or you mean a malware can take advantage of? malvuln:
- Advisory: ES2021-01 - Loopback access control bypass in coturn by using 0.0.0.0, [::1] or [::] as the peer address Gennaio 13, 2021Posted by Sandro Gauci on Jan 12# Loopback access control bypass in coturn by using 0.0.0.0, [::1] or [::] as the peer address - Fixed version: 4.5.2 - Enable Security Advisory: https://github.com/EnableSecurity/advisories/tree/master/ES2021-01-coturn-access-control-bypass - Coturn Security Advisory: https://github.com/coturn/coturn/security/advisories/GHSA-6g6j-r9rf-cm7p - Other references: - CVE-2020-26262 -...
- Re: Trovent Security Advisory 2010-01 [updated] / CVE-2020-28208: Rocket.Chat email address enumeration vulnerability Gennaio 13, 2021Posted by Stefan Pietsch on Jan 12# Trovent Security Advisory 2010-01 # ##################################### Email address enumeration in reset password ########################################### Overview ######## Advisory ID: TRSA-2010-01 Advisory version: 1.1 Advisory status: Public Advisory URL: https://trovent.io/security-advisory-2010-01 Affected product: Web application Rocket.Chat Affected version:
- Envira Gallery - Lite Edition - Version 1.8.3.2 CVE-2020-35581 CVE-2020-35582 Gennaio 13, 2021Posted by Rodolfo Augusto do Nascimento Tavares on Jan 12==== [Tempest Security Intelligence - ADV-12/2020] ============================= Envira Gallery - Lite Edition - Version 1.8.3.2 Author: Rodolfo Tavares Tempest Security Intelligence - Recife, Pernambuco - Brazil ===== [Table of Contents] ================================================ • Overview • Detailed description • Disclosure timeline • Acknowledgements • References ===== [Vulnerability Information]...
Customers
Twitter FEED
Recent activity
SecureOnlineDesktop
Tempo di lettura: 4 minLa pratica dello shadow IT e' l'utilizzo di sistemi informatici, dispositivi, software, appl… https://t.co/9wQPtvqemG
SecureOnlineDesktop
The practice of shadow IT is the use of computer systems, devices, software, applications and services without the… https://t.co/CgzjblglX9
SecureOnlineDesktop
Acronis Active Protection e' una tecnologia anti-ransomware avanzata. Protegge attivamente tutti i dati dei vostri… https://t.co/Hw7Rs2YOQa
SecureOnlineDesktop
Le insider threat sono difficili da individuare perche' provengono, appunto, dall'interno della vostra organizzazio… https://t.co/aborWoeBgK
SecureOnlineDesktop
Se il sito e' lento, stai perdendo clienti. E' molto semplice e non ci sono modi piu' gentili per dire la stessa co… https://t.co/yB18k0UH49
Newsletter
Prodotti e Soluzioni
News
- Zero-Day attack: cosa sono e come difendersi con SOCaaS Gennaio 6, 2021
- Sistema di monitoraggio, una panoramica Gennaio 4, 2021
- Data Exfiltration: difesa dal furto di dati Dicembre 30, 2020
- Installare un certificato Let’s Encrypt su macchina Debian based Dicembre 28, 2020
- WastedLocker: Ransomware di ultima generazione Dicembre 23, 2020
Recensioni Google






















Copyright © 2011 Secure Online Desktop s.r.l. All Rights Reserved.
VAT: 07485920966 “Cloud Computing services - Software cloud - Cloud server - VPS” Terms of ServicePrivacy Policy ISO Certifications