Una situazione molto confusa quella della SIAE in questi giorni, siti differenti riportano notizie differenti e gira una fantomatica intervista che afferma il contrario di tutte le altre fonti, in particolare esistono due filoni di notizie:

è un ransomware

non è un ransomware

nel caso si parli di malware tutti attribuiscono la colpa gruppo Everest per mezzo di everbe 2.0 o perlomeno una sua variante. la seconda ondata di notizie riporta l’assenza di un ransomware ma la richiesta di riscatto proviene da una semplice esfiltrazione in stile SnapMC con la sola minaccia di pubblicazione dei dati.

Da quello che possiamo verificare direttamente sul sito del gruppo pare ci sia effettivamente un data leak di circa 60 GB contenete documenti personali degli artisti si contano circa 28mila documenti sottratti.

L’azienda si dichiara non disposta a pagare il riscatto, scelta intelligente, poiché non ce nessuna garanzia che il leak venga bloccato a seguito del pagamento. Ricordiamoci che stiamo parlando di criminali senza scrupoli, che si abbassano ad attaccare gli ospedali pur di guadagnare, pagare significa solo spingerli ad attaccare di nuovo.

I dirigenti della società hanno fatto la mossa giusta: contattare le autorità immediatamente. Il reparto CNAIPIC della polizia postale sta già indagando sull’accaduto.

Il riscatto chiesto ammonta a 3 milioni di euro in bitcoin, ma vediamo ora come agisce la minaccia

Il gruppo Everest solitamente  colpisce le sue vittime tramite spear-phishing una versione avanzata del phishing che sfrutta la conoscenza della vitta come arma di persuasione (esistono casi in cui sono stati usati anche access broker ossia vengono acquistate credenziali di accesso alle macchine)

La pressione viene esercitata pubblicando direttamente una parte dei dati rubati

Come notifica di avvenuta crittazione troviamo sul desktop della vittima una nota che recita: 

 >>>>>>>>>>>>>>>>>>>>>>>>>>>> EVIL LOCKER <<<<<<<<<<<<<<<<<<<<<<<<<<<<

    HELLO, DEAR FRIEND!

    1.  [ ALL YOUR FILES HAVE BEEN ENCRYPTED! ]

    Your files are NOT damaged! Your files are modified only. This modification is reversible.

    The only 1 way to decrypt your files is to receive the decryption program.

    2.  [ HOW TO RECOVERY FILES? ]

    To receive the decryption program write to email: Questo indirizzo email è protetto dagli spambots. È necessario abilitare JavaScript per vederlo.

    And in subject write your ID:  codiceunivocovittima

    We send you full instruction how to decrypt all your files.

    If we do not respond within 24 hours, write to the email: Questo indirizzo email è protetto dagli spambots. È necessario abilitare JavaScript per vederlo.

    3.  [ FREE DECRYPTION! ]

    Free decryption as guarantee.

    We guarantee the receipt of the decryption program after payment.

    To believe, you can give us up to 3 files that we decrypt for free.

    Files should not be important to you! (databases, backups, large excel sheets, etc.)

    >>>>>>>>>>>>>>>>>>>>>>>>>>>> EVIL LOCKER <<<<<<<<<<<<<<<<<<<<<<<<<<<<

A tratti scurrile questo attore malevolo non si scosta di molto dal comportamento dei suoi colleghi nel corpo del messaggio leggiamo i soliti messaggi come i tuoi file non sono danneggiati contattami tramite e-mail fornendo il tuo id in modo da iniziare a contrattare il malware esiste dal 2018 la sua versione madre è ancora in giro.

Gli attori malevoli di questo gruppo solo soliti colpire grandi società e studi legali eccezionalmente colpisce enti pubblici.

Le prime operazioni mirano a disabilitare software di sicurezza per poi installare uni strumenti di accesso remoto con lo scopo di muoversi lateralmente verso i server di backup e dei database.

La crittografia usata dal malware è AES-256, un algoritmo matematicamente invulnerabile questo rende il recupero dei dati impossibile senza la chiave di cifratura il software viene concesso come RaaS ransomware as a service e permette alla vittima di decrittare 3 file a scelta a patto che non siano di primaria importanza come backup e fogli Excel di grandi dimensioni 

Tweet