Secondo il report del gruppo di cybersecurity Kaspersky, Lazarus, il gruppo cyber-criminale legato alla Corea del Nord, sta migliorando le sue tecniche di attacco ransomware. Gli attacchi utilizzano un nuovo malware e sono indirizzati verso vittime finanziariamente più importanti rispetto al passato.

Secondo quanto riportato dal report, il gruppo Lazarus pare sia dietro un nuovo ransomware denominato VHD, un attacco ransomware molto standard: cripta i file e cancella tutti i folder di sistema.

 “Quello che fa di più è che può sospendere i processi che potenzialmente possono proteggere file importanti dalla modifica (come Microsoft Exchange o SQL Server)”, spiega il report.

Qual è la cosa più importante di questo ransomware?

Secondo lo studio, la cosa più importante è la modalità dell’attacco.

In un caso studiato nel report, l’attacco è stato suscitato avendo a disposizione informazioni sugli indirizzi IP e sui protocolli.

In un secondo caso, invece, colpisce il percorso seguito dall’attaccante: ottiene l’accesso violando una VPN e ottiene i diritti da amministratore di sistema. Successivamente, installa una backdoor, prende il controllo del server e infetta tutti i computer del network usando un software apposito per svolgere questa funzione.

“Nonostante ci fosse noto che Lazarus da sempre mira a trarre profitti economici dalla sua attività, era dalla comparsa di WannaCry che non assistevamo ad un coinvolgimento con i ransomware. Anche se questo gruppo non può eguagliare l’efficienza di altri criminali informatici che utilizzano questo approccio incentrato sul ransomware mirato, il fatto stesso che Lazarus si sia avvicinato a questo tipo di attacchi è preoccupante. I ransomware rappresentano una minaccia globale che ha implicazioni finanziarie significative per le organizzazioni vittima, alle volte si parla addirittura di chiusura dell’attività” spiega Ivan Kwiatkowski, Senior Security Researcher del team GReAT di Kaspersky.

“Dopo queste scoperte, la domanda che ci poniamo è se questi attacchi siano un esperimento isolato o parte di una nuova tendenza e, di conseguenza, se le aziende private debbano preoccuparsi anche di essere prese di mira da threat actor sponsorizzati da uno stato. In ogni caso, le organizzazioni devono ricordare che la protezione dei dati è oggi più importante che mai. Creare back-up isolati dei dati essenziali e investire in difese reattive deve essere un must per ogni azienda” prosegue Kwiatkowski.

Il gruppo Lazarus semina il panico in rete dal 2009, colpendo intere strutture di rete e banche in diversi paesi. A Lazarus è stato attribuito sia l’attacco nel 2014 alla Sony contro l’uscita sugli schermi del film “The Interview” che metteva in scena l’uccisione del leader supremo Kim Jong Un – sia l’epidemia informatica prodotta da WannaCry, il ransomware che ha lasciato le sue tracce in 150 paesi da maggio del 2017.

Tweet