Nuova minaccia ransomware NanoLocker

 

Proto: N060116.

 

Con la presente Yoroi desidera comunicarLe che in questi ultimi è stata rilevata una nuova minaccia di tipologia Ransom denominata NanoLocker: questo ransomware si differenzia dagli altri in quanto utilizza come canale di comunicazione il protocollo ICMP.

Mentre la gran parte delle minacce di questa tipologia comunica e scambia chiavi di cifratura con i rispettivi server di comando attraverso canali HTTP/HTTPS, spesso protetti attraverso la rete di anonimizzazione TOR, il gruppo criminale che opera NanoLocker utilizza pacchetti ICMP Echo Request ed ICMP Echo Response, ovvero il normale Ping di rete quotidianamente utilizzato per effettuare verifiche di connettività.NanoLocker nasconde infatti le sue comunicazioni all’interno dei pacchetti ICMP i quali:

  • Non violano lo standard del protocollo, per cui risultano validi
  • Non vengono bloccati dai firewall perimetrali in quanto le comunicazioni ICMP di ping sono comunemente previste e permesse dalle policy aziendali.
  • Hanno possibilità di bypassare i controlli di sicurezza messi in campo da dispositivi come Next-Generation Proxy per il controllo degli accessi al web in quanto non utilizzano protocolli HTTP, HTTPS o TLS (anche con funzionalità di SSL-inspection).

Questo nuova minaccia ransomware rappresenta sia un ulteriore indicatore della continua e crescente proliferazione e diffusione di questa tipologia di attacchi, che una significativa evidenza della continua evoluzione di questa famiglia di minacce al fine di evitare il rilevamento anche da parte delle tecnologie automatiche più avanzate.

Per questa ragione Yoroi suggerisce inoltre di mantenere alto il livello di guardia all’interno della vostra organizzazione, di dotare le vostre organizzazioni di strumenti di sicurezza perimetrali opportuni e moderni come Next Generation Firewall, Next Generation IPS e IDS, e di avvalervi di servizi di monitoraggio come Managed Advanced Malware Protection al fine di ottenere una più completa visibilità e capacità di risposta alle sempre più sfuggenti minacce che caratterizzano il cyberspazio moderno.


Per avere un indice di minaccia in tempo reale si consiglia di visitare il seguente link: Yoroi Cyber Security Index