Analisi del rasomware mirato WastedLocker

L’analisi tecnica dettagliata dei nostri esperti sul principale sospettato dell’attacco rasomware di Garmin.

Alla fine di luglio 2020, i siti di notizie tecnologiche erano pieni di articoli su Garmin. Vari servizi Garmin, tra cui la sincronizzazione dei dispositivi con il cloud e strumenti per piloti, sono stati disattivati. La mancanza di informazioni accurate ha lasciato tutti a teorizzare freneticamente. Da parte nostra, abbiamo deciso di attendere alcuni dati concreti prima di valutare la situazione.

Nella sua dichiarazione ufficiale, Garmin ha confermato di essere stato colpito da un cyberattacco che ha interrotto i servizi online e ha cifrato alcuni sistemi interni. Le informazioni disponibili al momento di questo articolo indicano che i cyber criminali hanno utilizzato il ransomware WastedLocker. I nostri esperti hanno effettuato un’analisi tecnica dettagliata del malware ed ecco a voi i loro principali risultati.

Ransomware WastedLocker

WastedLocker è un esempio di ransomware mirato, un malware modificato per attaccare una specifica azienda. Il messaggio di riscatto si riferiva alla vittima per nome e tutti i file cifrati avevano l’estensione aggiuntiva .garminwasted.

Lo schema di cifratura dei criminali informatici porta alla stessa conclusione. I file sono stati cifrati utilizzando gli algoritmi AES e RSA, i cui creatori del rasomware utilizzano spesso in combinazione. Tuttavia, per cifrare i file viene utilizzata una chiave RSA pubblica, piuttosto che una generata in modo univoco per ogni infezione. In altre parole, se questa variante del ransomware venisse utilizzata contro più bersagli, il programma di decifrazione dei dati sarebbe di uso generale, perché dovrebbe esserci anche una chiave privata.

Inoltre, il ransomware presenta le seguenti curiose caratteristiche:

  • Prioritarizzazione della cifratura dei dati, il che significa che i criminali informatici possono specificare prima una particolare directory di file da cifrare. Ciò massimizza i danni nel caso in cui i meccanismi di sicurezza interrompano la cifratura dei dati prima che sia completata;
  • Supporto per la cifratura dei file su risorse di rete remote;
  • Controllo dei privilegi e uso dell’hackeraggio delle DLL per l’elevazione dei privilegi.

Troverete l’analisi dettagliata del ransomware nel post WastedLocker: analisi tecnica su Securelist.

Come procede Garmin?

Secondo la dichiarazione aggiornata della società, i servizi sono di nuovo operativi, anche se la sincronizzazione dei dati potrebbe essere lenta e in alcuni casi è ancora limitata. Tutto ciò è comprensibile: i dispositivi che non sono riusciti a sincronizzarsi con i loro servizi cloud per diversi giorni stanno ora contattando i server aziendali tutti in una volta, aumentando il carico.

Garmin riferisce che non vi sono prove che qualcuno abbia ottenuto accesso non autorizzato ai dati degli utenti durante l’incidente.

Come proteggersi da tali attacchi

Gli attacchi mirati di tipo ransomware contro le imprese hanno tutta l’intenzione di rimanere. Stando così le cose, le nostre raccomandazioni per difenderci da questi attacchi sono abbastanza standard:

  • Mantenete sempre aggiornato il software, in particolare il sistema operativo, la maggior parte dei Trojan sfrutta le vulnerabilità note;
  • Utilizzate RDP per negare l’accesso pubblico ai sistemi aziendali (o, se necessario, utilizzare una VPN);
  • Formate i dipendenti per quanto riguarda le basi della sicurezza informatica. Il più delle volte, è l’ingegneria sociale sui dipendenti che permette ai Trojan ransomware di infettare le reti aziendali;
  • Utilizzate soluzioni di sicurezza all’avanguardia con tecnologie antiransomware avanzate. I nostri prodotti rilevano WastedLocker e prevengono l’infezione.
Consigli