Shade Ransomware opera cessa di funzionare
Un recente rapporto afferma che gli operatori di Shade avrebbero terminato tutte le loro operazioni. Con questo, la varietà di ransomware più lunga dal 2014 – quando i ricercatori della sicurezza hanno rilevato i dati della vittima che crittografa le varianti – volge al termine. La banda dei criminali è stata attiva da quel momento con campagne condotte a un ritmo abbastanza costante. Le loro attività caddero da una scogliera con i loro annunci:
“Siamo il team che ha creato un codificatore di trojan noto principalmente come Shade, Troldesh o Encoder.858. In effetti, abbiamo interrotto la sua distribuzione alla fine del 2019. Ora abbiamo preso la decisione di mettere l’ultimo punto in questa storia e di pubblicare tutte le chiavi di decodifica che abbiamo (oltre 750 mila in tutto). Stiamo anche pubblicando il nostro software di decodifica; speriamo anche che, avendo le chiavi, le aziende antivirus emettano i loro strumenti di decrittazione più user-friendly. Tutti gli altri dati relativi alla nostra attività (compresi i codici sorgente del trojan) sono stati irrevocabilmente distrutti. Ci scusiamo con tutte le vittime del trojan e speriamo che le chiavi che abbiamo pubblicato li aiuteranno a recuperare i loro dati. “
La banda ha preso GitHub nel 2019 per fare questo annuncio. Questo messaggio conferma che la banda ha rilasciato circa 750.000 chiavi di decrittazione per aiutare le vittime a recuperare i loro file. Lo fecero come un atto di buona fede. Il ricercatore di Kaspersky Lab Sergey Golovanov ha già verificato queste chiavi. La società di sicurezza sta ora lavorando a uno strumento di decrittografia che renderebbe il processo di decrittazione molto più semplice. Nulla ha annunciato sui dati quando questo strumento verrà rilasciato, tuttavia, si può prevedere che sarà disponibile nel prossimo futuro. I Kaspersky Lab sono quelli che hanno l’esperienza di trattare con Shade quando hanno rilasciato diversi strumenti di decrittazione.
Mentre il rilascio dello strumento può essere visto come un atto di buona fede, viene fornito con una serie di avvertenze. È vero che il rilascio dello strumento aiuterà un certo numero di vittime ad accedere ai loro dati crittografati dal ransomware. Questa versione dello strumento aiuta Kaspersky a creare un necessario decodificatore.
Come detto in precedenza nell’introduzione, la storia del ransomware ombra è iniziata nel 2014. La banda lo ha distribuito tramite campagne e-mail di spam e kit di exploit entrambi. Non è stata una varietà perfetta come può essere vista da più programmi di decrittazione sviluppati da Kaspersky e da altre società di sicurezza. Il primo metodo di distribuzione è stato scoperto da Avast. Si è svolto a giugno 2019 quando la società di sicurezza è stata in grado di bloccare 100.000 istanze di ransomware, monitorate come Troldesh. La campagna era rivolta a persone negli Stati Uniti, nel Regno Unito e in Germania. Tuttavia, la rilevazione di gran lunga maggiore è avvenuta in Russia e Messico. Avast ha osservato che il ransomware è stato diffuso tramite e-mail di spam, mentre le istanze del malware sono state distribuite tramite social media e piattaforme di messaggistica. Hanno inoltre notato:
“Vediamo un picco nel numero dei suoi attacchi che probabilmente ha più a che fare con gli operatori di Troldesh che cercano di spingere questo ceppo più forte ed efficace di qualsiasi tipo di aggiornamento significativo del codice. Troldesh si è diffuso in natura per anni con migliaia di vittime con file di riscatto e probabilmente rimarrà prevalente per qualche tempo. ”
La seconda campagna è stata analizzata da MalwareBytes. Lo hanno fatto quando hanno riscontrato un picco in un rilevamento che è iniziato verso la fine del 2018 e si è protratto fino alla metà del primo trimestre del 2019. Il picco dell’attività è apparso che le bande di ransomware hanno iniziato a rallentare la distribuzione a favore della distribuzione di altri malware come i minatori di criptovaluta.
Ancora una volta, il ransomware è stato diffuso allegando il suo codice malevolo all’interno di alcuni file come allegato di un’e-mail di spam. Il file era spesso di tipo zip, se aperto, estraeva un file JavaScript contenente il payload del ransomware. Una volta eseguita, l’infezione inizia con la crittografia dei file e la loro aggiunta con un determinato nome di estensione. A seguito di ciò è apparso un file .txt con un’istruzione su come pagare il riscatto per decifrare i file. I ricercatori hanno dichiarato:
“Alle vittime di Troldesh viene fornito un codice univoco, un indirizzo e-mail e un URL a un indirizzo cipolla. Gli viene chiesto di contattare l’indirizzo e-mail con il loro codice o di visitare il sito della cipolla per ulteriori istruzioni. Non è consigliabile pagare gli autori del riscatto, poiché finanzierai la loro prossima ondata di attacchi. Ciò che distingue Troldesh dalle altre varianti di ransomware è l’enorme numero di file readme # .txt con la nota di riscatto rilasciata sul sistema interessato e il contatto via e-mail con l’attore della minaccia. Altrimenti, utilizza un classico vettore di attacco che si basa fortemente sul trucco delle vittime non informate. Tuttavia, ha avuto abbastanza successo in passato e nella sua attuale ondata di attacchi. I decryptor gratuiti disponibili funzionano solo su alcune delle varianti precedenti, quindi le vittime dovranno probabilmente fare affidamento su backup o funzionalità di rollback. “
Mentre una banda ha deciso di interrompere tutte le operazioni, per molti, è come al solito. Pertanto, non dovresti abbassare la guardia. Il team di Microsoft Intelligence per la protezione dalle minacce ha emesso un avviso che questa volta gli aggressori non hanno minacciato di divulgare i dati pubblicamente, ciò non significa che non li abbiano rubati. Inoltre, hanno dichiarato:
“Diversi gruppi di ransomware che hanno accumulato accesso e mantenuto la persistenza sulle reti target per diversi mesi hanno attivato dozzine di distribuzioni di ransomware nelle prime due settimane di aprile 2020. Finora gli attacchi hanno colpito organizzazioni di aiuto, società di fatturazione medica, produzione, trasporti, governo istituzioni e fornitori di software educativi, dimostrando che questi gruppi di ransomware tengono in scarsa considerazione i servizi critici che incidono, nonostante la crisi globale. Questi attacchi, tuttavia, non si limitano ai servizi critici, quindi le organizzazioni dovrebbero essere vigili per i segni di compromesso “.
Dovresti difenderti dalla caduta vittima delle bande di ransomware. Microsoft consiglia agli amministratori della rete di setacciare PowerShell, Cobalt Strike e altri strumenti di test di penetrazione. Dovrebbero anche cercare un accesso sospetto al servizio del sottosistema dell’autorità di sicurezza locale e modifiche sospette del registro, nonché prove di manomissione dei registri di sicurezza. Questi consigli sono dovuti a queste vulnerabilità:
- Endpoint RDP o Virtual Desktop senza autenticazione a più fattori
- Server Microsoft Exchange interessati da CVE-2020-0688
- Sistemi Zoho ManageEngine interessati da CVE-2020-10189
- Sistemi Citrix ADC interessati da CVE-2019-19781
- Sistemi Pulse Secure VPN interessati da CVE-2019-11510
- Server Microsoft SharePoint interessati da CVE-2019-0604