Sophos ha presentato un’analisi accurata del funzionamento di Matrix, una nuova tipologia di ransomware. Il malware è stato rilevato per la prima volta nel 2016, e da allora Sophos ne ha identificati ben 96 esemplari.
Come nei casi precedenti di ransomware personalizzati, tra cui BitPaymer, Dharma e SamSam, gli hacker che attaccano il computer con Matrix si introdotti nelle reti aziendali utilizzando il Remote Desktop Protocol (RDP), uno strumento di accesso remoto costruito per computer Windows. Tuttavia, a differenza di altre famiglie di ransomware, Matrix colpisce un singolo endpoint sulla rete, invece di diffondersi nell’intera rete aziendale.
SophosLabs ha ricostruito il codice in continuo cambiamento e le tecniche usate dagli aggressori, così come i metodi di ritorsione usati per tentare di ottenere denaro dalle vittime. I criminali informatici hanno reso gli attacchi sempre più sofisticati aggiungendo nuovi file e script per diffondere operazioni diversificate e carico utile sulla rete.
Le richieste di ricatto sono incorporate nel codice di attacco, ma le vittime non sanno cosa dovranno pagare fino a quando non si mettono in contatto con gli aggressori. Nella maggior parte dei casi, gli hacker utilizzano un servizio di messaggistica istantanea anonimo e criptato, chiamato bitmsg.me, ma ora questo servizio è stato disabilitato e i cyber criminali sono tornati a utilizzare normali account di posta elettronica per le loro comunicazioni.
Gli hacker inviano la loro richiesta di riscatto in cripto valuta, con l’equivalente in dollari. Questo è insolito, dal momento che questo tipo di richiesta è di solito fatta in cripto valuta cripto, e quindi non è ancora chiaro se la richiesta di riscatto sia un tentativo di rimescolare ulteriormente le carte, o semplicemente un modo per speculare sulle fluttuazioni del tasso di cambio dollaro-valuta virtuale.
Sulla base delle comunicazioni tra gli aggressori e i SophosLabs, le richieste di riscatto erano inizialmente di 2.500 dollari, ma con il tempo, e forse a causa del mancato pagamento, gli hacker hanno gradualmente ridotto la cifra.
Matrix può essere considerato come il coltellino svizzero dei ransomware; le versioni più recenti sono in grado di scansionare e trovare nuovi potenziali target non appena si inseriscono nella rete. Nonostante i campioni rilevati siano ancora limitati, non bisogna sottovalutare questa minaccia: Matrix si sta evolvendo rapidamente e gli hacker utilizzano realmente ciò che imparano nel corso di ogni attacco per sviluppare nuove e più aggressive versioni.
Il Threat Report 2019 di Sophos aveva già riscontrato una crescente diffusione di ransomware personalizzati, ed è fondamentale che le aziende rimangano vigili e si impegnino ad implementare soluzioni di sicurezza in ogni momento per prevenire questo tipo di minaccia.
In particolare, Sophos raccomanda quattro mosse di base per non diventare un bersaglio di Matrix e ransomware simili:
- Limitare l’accesso alle applicazioni di controllo remoto come Remote Desktop (RDP) e VNC;
- Effettuare scansioni complete e regolari per cercare le vulnerabilità, conducendo test di penetrazione periodici in tutta la rete;
- Implementare l’autenticazione multi-factor per sistemi interni sensibili, anche per i dipendenti di LAN o VPN;
- Creare backup offline e offsite e offsite e impostare un piano di ripristino d’emergenza che include il ripristino di dati e sistemi in tutta l’azienda in un unico momento.
