Il gruppo Lazarus si \u00e8 sempre distinto per l\u2019utilizzo di metodi caratteristici degli attacchi APT, sebbene specializzandosi nella criminalit\u00e0 informatica finanziaria. Recentemente, i nostri esperti hanno rilevato un nuovo malware VHD, mai riscontrato prima, e sembra che Lazarus lo stia provando.<\/p>\n
Dal punto di vista funzionale, VHD \u00e8 un tool ransomware abbastanza standard. Si insinua nei drive collegati al computer della vittima, cifra i file e cancella tutte le cartelle System Volume Information (sabotando cos\u00ec i tentativi di ripristino del sistema su Windows). Inoltre, pu\u00f2 sospendere i processi che potrebbero potenzialmente proteggere i file importanti da modifiche (come Microsoft Exchange o SQL Server).<\/p>\n
Ma ci\u00f2 che \u00e8 veramente interessante \u00e8 il modo in cui VHD arriva sui computer obiettivi dell\u2019attaccoo di perch\u00e9 le sue tecniche hanno vari aspetti in comune con gli attacchi APT. I nostri esperti hanno recentemente indagato su un paio di casi di VHD, analizzando le azioni dei cybercriminali in ognuno di essi.<\/p>\n
Nel primo incidente, l\u2019attenzione dei nostri esperti \u00e8 stata attirata dal codice dannoso responsabile della diffusione del VHD sulla rete obiettivo. Si \u00e8 scoperto che il ransomware aveva a disposizione gli elenchi degli indirizzi IP dei computer della vittima, nonch\u00e9 le credenziali per gli account con diritti di amministratore. Il ransomware ha utilizzato questi dati per perpetrare attacchi di forza bruta su un servizio SMB. Se il malware riusciva a connettersi alla cartella di rete di un altro computer mediante il protocollo SMB, allora poteva copiarsi avviarsi da solo, cifrando anche il dispositivo.<\/p>\n
Tale comportamento non \u00e8 molto tipico dei ransomware di massa. Suggerisce almeno una ricognizione preliminare dell\u2019infrastruttura della vittima, che \u00e8 pi\u00f9 caratteristica delle campagne APT.<\/p>\n
Nel secondo caso, quando il nostro Global Emergency Response Team ha individuato questo ransomware durante un\u2019indagine, i ricercatori sono stati in grado di risalire all\u2019intera catena di infezione. Come ci hanno riferito, ecco cosa hanno fatto i cybercriminali:<\/p>\n
Un\u2019ulteriore analisi dei tool utilizzati ha dimostrato che la backdoor fa parte del framework multipiattaforma MATA<\/a> (che alcuni dei nostri colleghi chiamano Dacls). Abbiamo concluso che si tratta, quindi, di un altro tool di Lazarus.<\/p>\n Troverete un\u2019analisi tecnica dettagliata di questi strumenti, insieme agli indicatori di compromissione, o nel relativo articolo sul nostro blog Securelist<\/a>.<\/p>\n I creatori del ransomware VHD sono chiaramente superiori rispetto alla media quando si tratta di infettare i computer aziendali con un cryptor. Il malware non \u00e8 generalmente disponibile sui forum dei cybercriminali, bens\u00ec \u00e8 stato sviluppato appositamente per attacchi mirati. Le tecniche utilizzate per penetrare nell\u2019infrastruttura della vittima e propagarsi all\u2019interno della rete richiamano sofisticati attacchi APT.<\/p>\n Questo graduale assottigliamento dei confini tra i tool della criminalit\u00e0 informatica finanziaria e gli attacchi APT \u00e8 la prova che anche le aziende pi\u00f9 piccole devono prendere in considerazione l\u2019impiego di tecnologie di sicurezza pi\u00f9 avanzate. Tenendo presente questo aspetto, abbiamo recentemente presentato una soluzione integrata con funzionalit\u00e0 sia di Endpoint Protection Platform (EPP) che di Endpoint Detection and Response (EDR). Potete trovare maggiori informazioni sulla soluzione consultando la nostra pagina dedicata<\/a>.<\/p>\n\n","protected":false},"excerpt":{"rendered":" Il gruppo di criminalit\u00e0 informatica Lazarus utilizza le tecniche APT tradizionali per diffondere il ransomware VHD.<\/p>\n","protected":false},"author":700,"featured_media":22423,"comment_status":"closed","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"_acf_changed":false,"footnotes":""},"categories":[2364,2955,2956],"tags":[830,2763,635,3342],"class_list":{"0":"post-22422","1":"post","2":"type-post","3":"status-publish","4":"format-standard","5":"has-post-thumbnail","7":"category-business","8":"category-enterprise","9":"category-smb","10":"tag-attacchi-mirati","11":"tag-lazarus","12":"tag-ransomware","13":"tag-rasomware"},"hreflang":[{"hreflang":"it","url":"https:\/\/www.kaspersky.it\/blog\/lazarus-vhd-ransomware\/22422\/"},{"hreflang":"en-in","url":"https:\/\/www.kaspersky.co.in\/blog\/lazarus-vhd-ransomware\/21633\/"},{"hreflang":"en-ae","url":"https:\/\/me-en.kaspersky.com\/blog\/lazarus-vhd-ransomware\/17096\/"},{"hreflang":"en-us","url":"https:\/\/usa.kaspersky.com\/blog\/lazarus-vhd-ransomware\/22905\/"},{"hreflang":"en-gb","url":"https:\/\/www.kaspersky.co.uk\/blog\/lazarus-vhd-ransomware\/21091\/"},{"hreflang":"es-mx","url":"https:\/\/latam.kaspersky.com\/blog\/lazarus-vhd-ransomware\/19773\/"},{"hreflang":"es","url":"https:\/\/www.kaspersky.es\/blog\/lazarus-vhd-ransomware\/23573\/"},{"hreflang":"ru","url":"https:\/\/www.kaspersky.ru\/blog\/lazarus-vhd-ransomware\/28813\/"},{"hreflang":"tr","url":"https:\/\/www.kaspersky.com.tr\/blog\/lazarus-vhd-ransomware\/8652\/"},{"hreflang":"x-default","url":"https:\/\/www.kaspersky.com\/blog\/lazarus-vhd-ransomware\/36559\/"},{"hreflang":"fr","url":"https:\/\/www.kaspersky.fr\/blog\/lazarus-vhd-ransomware\/15384\/"},{"hreflang":"pt-br","url":"https:\/\/www.kaspersky.com.br\/blog\/lazarus-vhd-ransomware\/15827\/"},{"hreflang":"pl","url":"https:\/\/plblog.kaspersky.com\/lazarus-vhd-ransomware\/13727\/"},{"hreflang":"de","url":"https:\/\/www.kaspersky.de\/blog\/lazarus-vhd-ransomware\/24801\/"},{"hreflang":"zh","url":"https:\/\/www.kaspersky.com.cn\/blog\/lazarus-vhd-ransomware\/11764\/"},{"hreflang":"ja","url":"https:\/\/blog.kaspersky.co.jp\/lazarus-vhd-ransomware\/28892\/"},{"hreflang":"nl","url":"https:\/\/www.kaspersky.nl\/blog\/lazarus-vhd-ransomware\/25748\/"},{"hreflang":"ru-kz","url":"https:\/\/blog.kaspersky.kz\/lazarus-vhd-ransomware\/22658\/"},{"hreflang":"en-au","url":"https:\/\/www.kaspersky.com.au\/blog\/lazarus-vhd-ransomware\/27923\/"},{"hreflang":"en-za","url":"https:\/\/www.kaspersky.co.za\/blog\/lazarus-vhd-ransomware\/27753\/"}],"acf":[],"banners":"","maintag":{"url":"https:\/\/www.kaspersky.it\/blog\/tag\/rasomware\/","name":"rasomware"},"_links":{"self":[{"href":"https:\/\/www.kaspersky.it\/blog\/wp-json\/wp\/v2\/posts\/22422","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.kaspersky.it\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.kaspersky.it\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.kaspersky.it\/blog\/wp-json\/wp\/v2\/users\/700"}],"replies":[{"embeddable":true,"href":"https:\/\/www.kaspersky.it\/blog\/wp-json\/wp\/v2\/comments?post=22422"}],"version-history":[{"count":4,"href":"https:\/\/www.kaspersky.it\/blog\/wp-json\/wp\/v2\/posts\/22422\/revisions"}],"predecessor-version":[{"id":22427,"href":"https:\/\/www.kaspersky.it\/blog\/wp-json\/wp\/v2\/posts\/22422\/revisions\/22427"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/www.kaspersky.it\/blog\/wp-json\/wp\/v2\/media\/22423"}],"wp:attachment":[{"href":"https:\/\/www.kaspersky.it\/blog\/wp-json\/wp\/v2\/media?parent=22422"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.kaspersky.it\/blog\/wp-json\/wp\/v2\/categories?post=22422"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.kaspersky.it\/blog\/wp-json\/wp\/v2\/tags?post=22422"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}Come proteggere la vostra azienda<\/h2>\n