fbpx

Ransomware: la fine del Ragnarok

Il collettivo ransomware Ragnarok (Asnarok), uno dei gruppi specializzati in attacchi mirati che escludono obiettivi russi e cinesi, esce di scena rilasciando il suo decryptor. Confermata l’autenticità del tool da più esperti di sicurezza, oggi – riporta The Record. – il software è sottoposto ad analisi da società di sicurezza informatica che si sono assunte il compito di riscriverne “una versione pulita e sicura” per poi renderla pubblica su No More Ransom – Europol. Nelle settimane precedenti questo presumibile auto-shutdown, il collettivo aveva cambiato nome, definendosi Daytona by Ragnarok.

nomoreransom.org è un'iniziativa European Cybercrime Center (Europol), National High Tech Crime Unit (Olanda), in collaborazione con McAfee e Kaspersky creata nel 2016 per aiutare le vittime di ransomware a recuperare i dati criptati senza pagare il riscatto richiesto. Tra i partner del progetto diverse polizie di stato, fornitori di servizi ICT, professionisti di info security.

La chiusura delle attività del Ragnarok apre a domande lecite tra gli esperti di cyber security e i professionisti d’info security, alcune poste direttamente all’autore dell’articolo per The Record., Catalin Cimpanu cybersecurity reporter per il portale by Recorded Future creato nel 2020 con focus cyber stories. “Qualche idea sul perché abbiamo visto chiudere diverse squadre? Prendono i soldi e salpano verso il tramonto o forse è perché si stanno avvicinando le forze dell’ordine?” – chiede un utente in commento a uno dei tweet di Cimpanu dedicato allla notizia. “Probabilmente è un rebranding oppure si stanno unendo ad altri gruppi“, risponde Cimpanu, non aggiungendo altro sul giro di vite contro i ransomware iniziato dopo l’attacco alla Colonial Pipeline e diventato manifesto con l’inchiesta Absolute Ransom. Le 48 ore seguenti la pubblicazione del report Analyst1 cambiano attitudini e asset di company e new media nell’affrontare l’informazione dedicata al ransomware e in generale a qualsiasi attività malware orientata ad ottenere accessi a sistemi per incursioni in infrastrutture di rete, come accaduto nel caso della Regione Lazio.

Il .onion del blog ransomware LockBit 2.0 indicizzato nei risultati di ricerca di Google è utilizzato come prima fonte di riferimento di testate di settore e professionisti di infosec. L’indicizzazione crea nodi in deepweb, non in darkweb, che permettono di ottenere notizie sulle attività del ransomware limitatamente a quelle proposte dalla vetrina blog. Il giro di vite, se davvero è questo, avviene in 24h, il blog scompare dai risultati per alcuni giorni. Il 13 agosto, Microsoft Security pubblica l’analisi sullo stato dell’arte di campagne phishing capaci di evadere controlli antivirus e di iniettare nei sistemi bersaglio malware per l’acquisizione di accessi a reti e sistemi: l’utente oggetto del phishing è un mezzo per provare ad ottenere l’accesso ad altri sistemi, veri obiettivi della campagna. Lo stesso giorno Colonial Pipeline notifica al procuratore generale del Maine i risultati di 11 giorni d’indagine sull’attacco subito dalla sua infrastruttura di rete il 6 maggio scorso, dichiarando piena disponibilità a supportare la ricostruzione delle informazioni violate per tutti i residenti dello Stato vittime del ransomware, estendendo la disponibilità a coperture biennali in Annual Credit Report.

The Report. dalla supposta dayline del 12 agosto ad oggi è tra i portali d’informazione che documentano, dando ampio spazio a terze parti specializzate nell’analisi delle attività ransomware, un incremento di novità e attività – anche shutdown – in diversi settori dell’Industria dell’Insicurezza. Gli exploit del Ragnarok concentrati su server Citrix contro il Windows Defender, oppure su zero-day come per il firewall Sophos XG; l’auto shutdown di Avaddon legato “ad account riconducibili al ransomware sulla Colonial Pipeline con l’esposizione di 59 vittime avvenuta il 7 maggio“; il cambio obiettivi di SynAck che a differenza di Avaddon non scompare ma cessa le sue attività storiche perché “si stanno concentrando su una nuova operazione“; la botnet Phorphiex scomparsa dai rapporti open source dal 6 luglio 2021 e che va in auto-shutdown con messa all’asta del suo codice sorgente per un ridotto parco acquirenti: “La botnet non è sicura come altre botnet malware ed è stata spesso dirottata da terze parti per distribuire i propri payload o emettere comandi di disinstallazione non autorizzati , cosa che può scoraggiare gli acquirenti“.

PR Intruder Press

PR Intruder Press

Composta da comunicatori, pubblicisti e giornalisti sotto l’egida della nostra Legacy, Intruder Press è la firma collettiva delle notizie pubblicate su Oggi quando scritte, o aggiornate, da più firme.

Questo articolo è pubblicato con licenza Creative Commons BY-NC-ND 4.0 e sotteso alla nostra Licenza di pubblicazione, che ti invitiamo a leggere se vuoi utilizzarlo per creare opere derivate. Vigilanza e controllo studio legale S&P

Woman’s rights are Human Rights è uno dei claim che accompagna Operation Jane – l’immagine di copertina è un fotogramma del …

Tra i ransomware più utilizzati nel 2020 per attacchi mirati a sistemi …

The Intruder News ( Intruder ) utilizza cookie di terze parti per garantire la sicurezza del sito e per fornire all'utente la miglior esperienza di navigazione possibile. I dati sono raccolti in forma anonima e in norma al Regolamento Ue (RGPD) in materia di protezione dei dati personali. Continuando ad utilizzare l'Intruder dichiari di aver preso visione della nostra informativa sulla privacy
ok
The Intruder News