I nostri esperti hanno esaminato l\u2019attivit\u00e0 di Andariel, considerato un sottogruppo del gruppo APT Lazarus. I cybercriminali utilizzano il malware DTrack e il ransomware Maui per colpire aziende a livello globale. Com\u2019\u00e8 tipico di Lazarus, il gruppo attacca al fine di ottenere un profitto economico \u2013 questa volta tramite richieste di riscatto.<\/p>\n
I nostri esperti sono giunti alla conclusione che il gruppo Andariel \u00e8 pronto ad attaccare ogni tipo di azienda, piuttosto che focalizzarsi su un settore in particolare. Nel mese di giugno la US Cybersecurity and Infrastructure Security Agency ( CISA \u2013 Agenzia per la sicurezza informatica e la sicurezza delle infrastrutture USA) ha dichiarato<\/a> che i target principali del ransomware Maui sono aziende e organizzazioni governative nel settore sanitario degli Stati Uniti. Tuttavia, il nostro team ha rilevato almeno un attacco nei confronti di una societ\u00e0 immobiliare giapponese, oltre a diverse vittime in India, Vietnam e Russia.<\/p>\n Il principale strumento utilizzato dal gruppo Andariel \u00e8 un malware consolidato da tempo, DTrack, che raccoglie le informazioni della vittima e le invia ad un host remoto. Tra le altre cose, DTrack raccoglie anche la cronologia del browser e la salva in un file separato. La variante utilizzata negli attacchi di Andariel \u00e8 in grado non solo di inviare le informazioni raccolte al server dei cybercriminali via HTTP ma anche di conservarle in un host remoto del network della vittima.<\/p>\n Il ransomware Maui entra in gioco nel momento in cui i malfattori rilevano informazioni degne di nota. Di solito viene rilevato, negli host oggetto dell\u2019attacco, dieci ore dopo l\u2019attivazione del malware DTrack. I nostri colleghi di Stairwell hanno studiato<\/a> diversi campioni e sono giunti alla conclusione che il ransomware \u00e8 controllato in modo manuale dagli operatori che specificano quali dati crittografare.<\/p>\n 3Proxy \u00e8 un altro tool che potrebbe essere utilizzato dai malfattori. Il server proxy \u2013 gratuito, multi-piattaforma e legale \u2013 potrebbe essere oggetto di interesse da parte dei cybercriminali a causa della dimensione compatta (solo poche centinaia di kilobyte). Tale tipo di strumento pu\u00f2 essere utilizzato per mantenere l\u2019accesso remoto ad un computer compromesso.<\/p>\n I cybercriminali sfruttano delle versioni senza patch di servizi pubblici online. In uno di questi casi, il malware \u00e8 stato scaricato da un HFS (file server HTTP): i malfattori hanno utilizzato un exploit sconosciuto che ha permesso loro di eseguire uno script di Powershell da un server remoto. In un altro caso, sono riusciti a compromettere un server WebLogic tramite un exploit per la vulnerabilit\u00e0 CVE-2017-10271, che alla fine ha permesso loro di eseguire uno script.<\/p>\n Per una descrizione pi\u00f9 dettagliata dal punto di vista tecnico, relativa all\u2019attacco, agli strumenti utilizzati e gli indicatori di compromissione, visitate il nostro post Securelist<\/a>.<\/p>\n Innanzitutto, assicuratevi che ogni dispositivo aziendale, server inclusi, sia dotato di soluzioni di sicurezza efficaci<\/a>. In aggiunta, \u00e8 consigliabile elaborare preventivamente una strategia anti-ransomware<\/a> , oltre ad altre opportune misure da adottare in caso di infezione.<\/p>\n\n","protected":false},"excerpt":{"rendered":" Il gruppo Andariel attacca le aziende con tool molto dannosi.<\/p>\n","protected":false},"author":2581,"featured_media":27159,"comment_status":"closed","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"_acf_changed":false,"footnotes":""},"categories":[2364,2955],"tags":[822,2763,635],"class_list":{"0":"post-27158","1":"post","2":"type-post","3":"status-publish","4":"format-standard","5":"has-post-thumbnail","7":"category-business","8":"category-enterprise","9":"tag-estorsione","10":"tag-lazarus","11":"tag-ransomware"},"hreflang":[{"hreflang":"it","url":"https:\/\/www.kaspersky.it\/blog\/andariel-dtrack-maui\/27158\/"},{"hreflang":"en-in","url":"https:\/\/www.kaspersky.co.in\/blog\/andariel-dtrack-maui\/24444\/"},{"hreflang":"en-ae","url":"https:\/\/me-en.kaspersky.com\/blog\/andariel-dtrack-maui\/19910\/"},{"hreflang":"en-us","url":"https:\/\/usa.kaspersky.com\/blog\/andariel-dtrack-maui\/26881\/"},{"hreflang":"en-gb","url":"https:\/\/www.kaspersky.co.uk\/blog\/andariel-dtrack-maui\/24788\/"},{"hreflang":"es-mx","url":"https:\/\/latam.kaspersky.com\/blog\/andariel-dtrack-maui\/25184\/"},{"hreflang":"es","url":"https:\/\/www.kaspersky.es\/blog\/andariel-dtrack-maui\/27501\/"},{"hreflang":"ru","url":"https:\/\/www.kaspersky.ru\/blog\/andariel-dtrack-maui\/33817\/"},{"hreflang":"tr","url":"https:\/\/www.kaspersky.com.tr\/blog\/andariel-dtrack-maui\/10923\/"},{"hreflang":"x-default","url":"https:\/\/www.kaspersky.com\/blog\/andariel-dtrack-maui\/45130\/"},{"hreflang":"fr","url":"https:\/\/www.kaspersky.fr\/blog\/andariel-dtrack-maui\/19280\/"},{"hreflang":"pt-br","url":"https:\/\/www.kaspersky.com.br\/blog\/andariel-dtrack-maui\/19867\/"},{"hreflang":"de","url":"https:\/\/www.kaspersky.de\/blog\/andariel-dtrack-maui\/29139\/"},{"hreflang":"nl","url":"https:\/\/www.kaspersky.nl\/blog\/andariel-dtrack-maui\/28412\/"},{"hreflang":"ru-kz","url":"https:\/\/blog.kaspersky.kz\/andariel-dtrack-maui\/25332\/"},{"hreflang":"en-au","url":"https:\/\/www.kaspersky.com.au\/blog\/andariel-dtrack-maui\/30847\/"},{"hreflang":"en-za","url":"https:\/\/www.kaspersky.co.za\/blog\/andariel-dtrack-maui\/30556\/"}],"acf":[],"banners":"","maintag":{"url":"https:\/\/www.kaspersky.it\/blog\/tag\/ransomware\/","name":"ransomware"},"_links":{"self":[{"href":"https:\/\/www.kaspersky.it\/blog\/wp-json\/wp\/v2\/posts\/27158","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.kaspersky.it\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.kaspersky.it\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.kaspersky.it\/blog\/wp-json\/wp\/v2\/users\/2581"}],"replies":[{"embeddable":true,"href":"https:\/\/www.kaspersky.it\/blog\/wp-json\/wp\/v2\/comments?post=27158"}],"version-history":[{"count":3,"href":"https:\/\/www.kaspersky.it\/blog\/wp-json\/wp\/v2\/posts\/27158\/revisions"}],"predecessor-version":[{"id":27162,"href":"https:\/\/www.kaspersky.it\/blog\/wp-json\/wp\/v2\/posts\/27158\/revisions\/27162"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/www.kaspersky.it\/blog\/wp-json\/wp\/v2\/media\/27159"}],"wp:attachment":[{"href":"https:\/\/www.kaspersky.it\/blog\/wp-json\/wp\/v2\/media?parent=27158"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.kaspersky.it\/blog\/wp-json\/wp\/v2\/categories?post=27158"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.kaspersky.it\/blog\/wp-json\/wp\/v2\/tags?post=27158"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}Gli strumenti di Andariel<\/h2>\n
Come Andariel diffonde il malware<\/h2>\n
Come proteggersi?<\/h2>\n