Il caso Maze Ransomware e la pericolosa evoluzione della minaccia

Ultimo aggiornamento il 24 gennaio 2020 alle 9:34

Il caso Maze Ransomware e la pericolosa evoluzione della minaccia

Le vittime del  Maze Ransomware si trovano a dover affrontare una nuova minaccia, i criminali dietro il malware potrebbero pubblicare i propri dati online

Il caso che ci apprestiamo a discutere è molto importante in quanto segna una svolta nell’evoluzione del panorama delle minacce informatiche.

Parliamo di ransomware, codici malevoli disegnati per ipedire l’accesso ai file da parte delle vittime, tipicamente cifrando i file, fino a pagamento di un riscatto. Negli ultimi mesi i casi di attacchi ransomware sono aumentati in maniera sentibile, soprattutto negli Stati Uniti dove municipalità, scuole ed aziende si sono scoperte vulnerabili alla minaccia.

Le autirità statunitensi hanno più volte emesso allarmi per informare le aziende operanti nel pubblico e nel privato circa i rischi connessi alla minaccia ransomware ed hanno fornito loro linee guida per ridurre i rischi di esposizione.

Una delle principali minacce emerse negli ultimi mesi è il Maze Ransomwarele cui vittime oltre a vedersi cifrare i propri dati sono finiti sotto ricatto delle organizzazioni criminali che minacciano loro di pubblicare i dati rubati online.

 

Ma come è possibile?

Tecnicamente gli autori del Maze ransomware hanno strutturato i loro attacchi in due fasi, in una prima vengono rubati i dati delle vittime, successivamente si procede alla cifratura dei file sui sistemi ed alla conseguente richiesta di riscatto. A questo punto l’efficacia dell’attacco è massima, perchè qualora la vittima si rifiuti di pagare il riscatto si vedrebbe pubblicare online i propri dati online con conseguenze disastrote per la sua attività.

Gli operatori dietro il Maze ransomware hanno creato un sito Web in cui hanno pubblicato i nomi di otto società che avrebbero rifiutato di pagare il riscatto dopo che i loro sistemi sono  seguito infettati.

“A peggiorare le cose, un gruppo criminale dietro il ransomware che ha creato un sito Web pubblico che riporta i nomi delle società vittime che hanno scelto di utilizzare i propri backup per ripristinare le operazioni invece di accettare di pagare i loro aguzzini”, si legge in un post pubblicato dal popolare investigatore Brian Krebs.

“Meno di 48 ore fa, il gruppo criminale dietro il Maze Ransomware ho creato un sito che elenca i nomi di otto società, e i siti Web corrispondenti, che hanno rifiutato di pagare una richiesta di riscatto. 

Maze ransomware 1

Il sito Web include dati relativi all’infezione, tra cui la data dell’attacco, alcuni documenti rubati (file Office, file di testo e file in formato PDF), il volume complessivo dei dati rubati e l’elenco degli indirizzi IP e nomi di computer dei server infetti.

“Sono riportati qui i nomi delle aziende che hanno deciso di non collaborare e di cercare di nascondere il nostro attacco alle loro infrastrutture”, riporta il sito messo in piedi dall’organizzazione criminale. “Presto su questo sito saranno pubblicati il loro database e documenti privati. Restate in attasa.

Questa mossa è scioccante e porta l’attacco ransomware a un livello più alto di minaccia, dobbiamo aspettarci che altre bande dedite al crimine informatico adotteranno una strategia simile per ricattare le vittime e costringerle a pagare il riscatto.

 

Chi c’è dietro Maze Ransomware

Vi starete chiedendo chi siano dietro il Maze Ransomware, bene la risposta ci viene da un rilevamente effettuato nel novembre scorso.

Un nuovo attore criminale, tracciato come TA2101, ha lanciato una serie di campagne malware in diversi stati tra cui Stati Uniti, Germania ed Italia.

La metodica di attacco è la stessa, gli attaccanti hanno utilizzato email di spam con allegati malevoli che una colta aperti procedevano all’installazione del famigerato ransomware sul PC delle vittime.

Lo stesso gruppo criminale ha preso di mira le aziende che forniscono supporto IT con l’intento di attaccare i loro clienti in un classico attacco di supply chain.

 

La minaccia Maze ransomware è concreta?

La risposta è purtroppo affermativa, il 7 dicembre 2019, i sistemi della città di Pensacola negli Stati Uniti sono stati infettati dal Maze ransomware la cui amministrazione è stata costretta a disconnettere la maggior parte dei suoi sistemi.

Purtroppo il nome della città è apparso sul sito web pubblicato del gruppo Maze che ha rilasciato 2 GB di file che sarebbero stati rubati alla città di Pensacola durante il recente attacco.

Maze ransomware 2

Secondo il sito BleepingComputer che per primo ha confermato il coinvolgimento del ransomware Maze nell’attacco contro la città di Pensacola, i criminali avrebbero chiesto un riscatto di 1 milione di dollari per decifrare i file delle vittime.

Il gruppo criminale ha rilasciato 2 GB su 32 GB di file che ha dichiarato di aver rubato nell’attacco.

Insomma se son queste le premesse, dovremo attenderci un 2020 all’insegna di spiacevoli sorprese se non adottiamo le necessarie contromisure.

Rimani sempre aggiornato sui
temi di StartupItalia!
iscriviti alla newsletter