I ransomware stanno diventando sempre più una minaccia di rilevanza importante, quasi da non far dormire sonni tranquilli ad aziende sia pubbliche che private, in particolare in Italia.
Oggi parliamo di una nuova tipologia di ransomware che colpisce l’infrastruttura IT di un’organizzazione rendendola inutilizzabile chiedendo un riscatto per poterla sbloccare minacciando la pubblicazione dei dati, agendo proprio da più parti del sistema aziendale propagando il ransomware.
È il caso del “Medusa Ransomware”, nato tramite una nuova cyber-gang chiamata MedusaLocker, scoperta nella prima metà del 2022 che da allora continua a violare costantemente sempre più aziende.
Ciò che continua ad alimentare la sua presenza nel web è la continua configurazione errata del Remote Desktop Protocol (RDP), che permette di accedere alle reti delle potenziali vittime rubandone i dati e lasciando una nota di riscatto, con le istruzioni da seguire per pagarlo, in ogni cartella con un file crittografato. In particolare, la nota chiede esplicitamente alle vittime di effettuare i pagamenti ransomware in Bitcoin in un portafoglio da loro indicato.
Purtroppo, ancora oggi, nel 2023, esistono diverse realtà aziendali senza un adeguato sistema di sicurezza, che spesso rende accessibili i sistemi dalle reti pubbliche.
È necessario proteggere le operazioni delicate tramite sia una VPN costantemente monitorata ed aggiornata, ossia il servizio che permette di massimizzare i flussi informativi e la condivisione di risorse e dati aziendali con sicurezza, che con la VDI, una tecnologia all’avanguardia che consente di realizzare ambienti desktop a supporto dei dipendenti con un’infrastruttura virtuale sicura e scalabile.
Come funziona il Medusa Ransomware?
La cyber-gang MedusaLocker agisce tramite un modello Ransomware-as-a-Service (RaaS) basato sulla suddivisione dei pagamenti del riscatto. Nello specifico, i tipici modelli RaaS vengono utilizzati dallo sviluppatore del ransomware e dai relativi membri che distribuiscono il ransomware sui sistemi delle vittime.
Frequentemente le vittime cascano nel tranello di campagne marketing fake con e-mail phishing e spam, allegando direttamente il ransomware all’e-mail, come agganci iniziali di accesso.
Viene utilizzato un file batch per eseguire lo script PowerShell invoke-ReflectivePEInjection, da cui si diffonde il ransomware in tutta la rete modificando il valore EnableLinkedConnections nel dispositivo hackerato, che quindi consente di rilevare host, le reti collegate con l’ICMP (Internet Control Message Protocol) e l’archiviazione condivisa tramite il protocollo Server Message Block (SMB).
Da questo processo deriva il nome di “Medusa Ransomware”.
Così facendo, MedusaLocker inserisce una richiesta di riscatto, dando le istruzioni su come comunicare con loro, dando per esempio più indirizzi e-mail di riferimento.
La dimensione delle richieste di riscatto cambia secondo la situazione finanziaria dell’azienda colpita.
Cosa stai facendo per proteggere i tuoi dispositivi aziendali?
Come menzionato sopra, è indispensabile adottare dei sistemi di sicurezza per proteggere i dati aziendali, come la VPN e la VDI.
TWT offre entrambe le soluzioni con le seguenti caratteristiche:
- il VPN Service è pensato per aziende con punti di presenza multipli sul territorio o con personale mobile.
La trasmissione dei dati all’interno delle linee VPN avviene in totale sicurezza ed è composta di circuiti chiusi e privati fra le sedi. - La VDI garantisce diversi vantaggi, semplicità di accesso ovunque, flessibilità e maggiore sicurezza informatica.
Scopri entrambi i servizi nel nostro sito https://www.twt.it/