Nuovi Attacchi Ransomware in Europa

 

Proto: N031015.
Con la presente Yoroi desidera comunicarLe dei recenti rilevamenti di nuovi attacchi ransomware che stanno colpendo infrastrutture server nell’area europea. Gli attacchi sono stati al momento registrati in organizzazioni greche ed est-europee, tuttavia le strategie di attacco del gruppo criminale che sta operando nell’area risulta similare agli attacchi di tipologia Ransom rilevati da Yoroi in Italia nel terzo trimestre 2015.

A differenza degli attacchi ransomware più comuni, gli attacchi recentemente rilevati mirano alla compromissione dei dati direttamente sui server effettuando continui tentativi di accesso a forza bruta ai servizi di Desktop Remoto (RDP) raggiungibili dall’esterno.

Una volta all’interno dei server delle organizzazioni vittima, gli attaccanti utilizzano un particolare strumento ransomware denominato “LowLevel04” per cifrare ogni archivio e documento pdf presente sui dischi fisici del sistema al fine di ottenere un riscatto in valuta non tracciabile dall’azienda vittima. Il malware utilizzato per la cifratura non è ancora rilevato adeguatamente dalle soluzioni antivirus in quanto rimosso dagli attaccanti stessi al termine dell’attacco.

Nonostante la similarità dei modus-operandi di questi ultimi attacchi con gli attacchi precedentemente rilevati da Yoroi in Italia, esistono elementi che indicano che il gruppo cyber-criminale che sta operando in est Europa sia differente da quello precedentemente rilevato in Italia, per tale ragione esiste il rischio che tali attacchi verranno successivamente sferrati anche verso organizzazioni italiane.

Per questa ragione Yoroi Srl suggerisce di effettuare verifiche sullo stato di sicurezza dei servizi esposti su internet attraverso appositi test come Vulnerability Assessment o Penetration Test al fine di aumentare la consapevolezza sullo stato di sicurezza delle infrastrutture esposte alla rete, minimizzando così i rischi di compromissioni e accessi abusivi. Yoroi suggerisce inoltre di dotare le vostre organizzazioni di strumenti di sicurezza perimetrali opportuni e moderni come Next Generation Firewall, Next Generation IPS e NIDS, di monitorare attivamente lo stato di sicurezza degli asset aziendali attraverso servizi di monitoraggio come MAMP (Managed Advanced Malware Protection) e di mantenere alto il livello di guardia all’interno della vostra organizzazione.

Per avere un indice di minaccia in tempo reale si consiglia di visitare il seguente link: Yoroi Cyber Security Index