I ricercatori di Kaspersky hanno scoperto un nuovo gruppo ransomware che conferma la tendenza di questi criminali di utilizzare funzionalità multipiattaforma. Il gruppo, soprannominato Luna, utilizza ransomware scritti in Rust, un linguaggio di programmazione precedentemente utilizzato da threat actor come BlackCat e Hive. Questo consente loro di trasferire facilmente il malware da un sistema operativo all’altro. Anche questa scoperta fa parte del recente report sul crimeware disponibile sul sito di Kaspersky Securelist.
Luna distribuisce un malware scritto in Rust: le sue capacità multipiattaforma consentono al gruppo di colpire contemporaneamente sistemi Windows, Linux ed ESXi. L’annuncio diffuso sul dark web, individuato da Kaspersky, afferma che Luna lavora solo con affiliati di lingua russa. Inoltre, la richiesta di riscatto hardcoded nel binario, contiene alcuni errori di spelling, che fanno pensare che il gruppo possa essere di lingua russa. Dal momento che Luna è un gruppo scoperto di recente, ci sono ancora pochi dati sulla tipologia di vittime, ma Kaspersky sta seguendo attivamente la sua attività.
Luna conferma la recente tendenza ad utilizzare ransomware multipiattaforma, scritti con linguaggi come Golang e Rust e ampiamente implementati dai moderni gruppi ransomware nell’ultimo anno. Un esempio rilevante è rappresentato da BlackCat e Hive, quest’ultimo utilizza sia Go che Rust. Si tratta di linguaggi indipendenti dalla piattaforma, di conseguenza i ransomware scritti con essi possono essere facilmente trasferiti da una piattaforma all’altra. Gli attacchi possono quindi essere rivolti a più sistemi operativi contemporaneamente.
Un’altra indagine, condotta di recente da Kaspersky, fornisce informazioni più approfondite sull’attività del gruppo ransomware Black Basta. Questo gruppo utilizza una nuova variante di ransomware scritta in C++, che è stata scoperta per la prima volta a febbraio 2022. Da allora, Black Basta è riuscito ad attaccare più di 40 vittime, principalmente in Stati Uniti, Europa e Asia.
Come ha dimostrato l’indagine di Kaspersky, sia Luna che Black Basta confermano un altro trend del 2022 legato ai ransomware ovvero quello di prendere di mira i sistemi ESXi, oltre a Windows e Linux. ESXi è un hypervisor che può essere utilizzato indipendentemente su qualsiasi sistema operativo. Inoltre, tenuto conto che molte aziende sono migrate a macchine virtuali basate su ESXi, è diventato più facile per gli attaccanti criptare i dati delle vittime.
Come sottolineato in una nota ufficiale alla stampa da Jornt van der Wiel, Security Expert di Kaspersky: «Le tendenze che abbiamo delineato all’inizio di quest’anno sembrano affermarsi sempre di più. Rileviamo un numero sempre più alto di gruppi criminali che usano linguaggi multipiattaforma per scrivere i loro ransomware con l’obiettivo di distribuire il malware su una varietà di sistemi operativi. L’aumento degli attacchi alle macchine virtuali ESXi è allarmante e ci aspettiamo che sempre più gruppi di ransomware adottino la stessa strategia».
Ulteriori informazioni sui gruppi ransomware emergenti sono presenti su Securelist.
Per proteggere sé stessi e la propria azienda dagli attacchi ransomware, Kaspersky propone di:
- Non esporre i servizi di remote desktop (come RDP) alle reti pubbliche se non è strettamente necessario. È importante utilizzare sempre password sicure per questi servizi.
- Concentrare la strategia di difesa sul rilevamento dei movimenti laterali intrusivi di rete e della fuga di dati su Internet. È importante prestare particolare attenzione al traffico in uscita per individuare le connessioni dei criminali informatici.
- Usare soluzioni come Kaspersky Endpoint Detection and Response Expert e Kaspersky Managed Detection and Response che aiutato a identificare e bloccare l’attacco nelle fasi iniziali, prima che gli attaccanti raggiungano i loro obiettivi finali.
- Proteggere l’ambiente aziendale attraverso la formazione dei dipendenti. Possono essere utili i corsi di formazione dedicati, come quelli forniti da Kaspersky Automated Security Awareness Platform.
- Usare le informazioni più recenti di Threat Intelligence per essere sempre al corrente sulle TTP adottate dai threat actor. Kaspersky Threat Intelligence Portal è un unico punto di accesso per la TI di Kaspersky, fornisce dati e approfondimenti sui cyberattacchi raccolti dal nostro team da quasi 25 anni. Per aiutare le aziende a mettere in atto difese efficaci in questi tempi turbolenti, Kaspersky ha annunciato l’accesso gratuito a informazioni indipendenti, continuamente aggiornate e di provenienza globale sui cyberattacchi e le minacce in corso. È possibile richiedere l’accesso all’offerta al seguente link.
