RansomExx, emerso nel 2018 con il nome Defray777, questo ransomware ha guadagnato rapidamente notorietà a partire dal 2020 grazie a attacchi ampiamente segnalati contro istituzioni governative, aziende manifatturiere e altre organizzazioni di spicco. Ribattezzato RansomEXX nel 2020, questo malware ha continuato a rappresentare una minaccia attiva, affiancato da ransomware come LockBit e Conti. Questo articolo mira a condurre un’analisi approfondita delle specifiche tattiche, degli strumenti e dei metodi adottati da RansomExx, fornendo consigli per difendersi efficacemente da questa minaccia.

ransomware ransomexx

Analisi tecnica approfondita di RansomEXX

RansomEXX si presenta come un ransomware altamente sofisticato che sfrutta tecniche avanzate per evadere la rilevazione e massimizzare l’efficacia dell’attacco. Ecco alcune delle sue caratteristiche tecniche più salienti:

Algoritmi di crittografia
Utilizza un algoritmo di criptazione AES-256 robusto per cifrare i file delle vittime.
La chiave AES viene successivamente criptata con una chiave pubblica RSA-4096, garantendo che senza la chiave privata corrispondente, la decifratura sia praticamente impossibile. Questo metodo di criptazione ibrida assicura un livello elevato di sicurezza e rende la crittografia estremamente difficile da decifrare senza il supporto della cybergang.

Payload specifico per vittima
Ogni attacco di RansomEXX viene personalizzato per la sua vittima.
Il payload finale, o il codice malevolo che effettua la criptazione, è unico per ogni incursione. Questa personalizzazione rende più difficile per gli analisti di sicurezza e per le soluzioni security riconoscere e contrattaccare il ransomware basandosi su firme digitali preesistenti.

RansomExx viene distribuito tramite e-mail malspam che contengono un documento di Microsoft Office con macro dannose. All’interno di questo documento, viene richiesta l’autorizzazione per abilitare il contenuto della macro, offrendo opzioni come “Abilita modifica” o “Abilita contenuto”. Una volta ottenuta l’autorizzazione, il documento dannoso cerca di scaricare e eseguire il trojan IcedID.

Dopo che IcedID viene installato con successo, carica ed esegue Cobalt Strike, uno strumento impiegato per stabilire una connessione con un server di comando e controllo. Una volta stabilita questa connessione, viene utilizzato il caricatore Vatet tramite la versione trojan di Notepad++. Successivamente, tale caricatore viene impiegato per vari scopi dannosi, tra cui il furto di dati mediante strumenti come Mimikatz, Lazagne, Pyxie e l’installazione del ransomware RansomExx.

In molti casi, RansomEXX opera direttamente in memoria, evitando di scrivere su disco. Questa tecnica, nota come fileless“, complica ulteriormente il rilevamento da parte degli strumenti di sicurezza tradizionali che monitorano i file system per attività sospette.

Terminazione dei processi
Prima di procedere con la criptazione dei file, RansomEXX è programmato per terminare specifici processi e servizi in esecuzione sul computer della vittima. Questo passaggio è cruciale perché previene l’interruzione della criptazione da parte di software di sicurezza o di backup che potrebbero essere in esecuzione, assicurando così che il ransomware possa completare il suo compito senza ostacoli.

Interazione con l’Infrastruttura vittima
RansomEXX non si limita alla semplice criptazione dei file. Bensì, esegue comandi specifici che gli consentono di interagire in modo più profondo con l’infrastruttura della vittima. Questi comandi sono ottimizzati per ridurre al minimo la visibilità delle azioni dannose, complicando la risposta degli strumenti EDR (Endpoint Detection and Response) che spesso rilevano l’infezione solo dopo che i file sono stati criptati.

Variante RansomExx per Linux
La scoperta di una variante per Linux di RansomEXX dimostra l’adattabilità e l’intento del gruppo dietro il ransomware di colpire una gamma più ampia di sistemi e infrastrutture. Questa variante, pur essendo più semplice rispetto alla controparte Windows, sottolinea la volontà di RansomEXX di espandere il proprio campo d’azione.

Il ritorno di RansomEXX in Italia

Il recente attacco ad un famigerato studio di commercialisti e la conseguente pubblicazione di 35 GB di dati rubati, segna l’ultima aggressione di RansomEXX sul suolo italiano. Non è la prima volta che questo ransomware fa parlare di sé.

Le vittime di RansomExx

Le vittime di RansomEXX spaziano in vari settori, dimostrando la versatilità e l’ampio raggio d’azione di questo ransomware.
Dalle istituzioni governative alle grandi aziende nei settori dell’automotive, della tecnologia, della sanità e oltre, RansomEXX non discrimina in base al campo d’azione delle sue vittime. Tuttavia, esistono alcune caratteristiche comuni che tendono a rendere certe organizzazioni più appetibili agli occhi degli attaccanti.

Caratteristiche delle vittime:

  • RansomEXX mira spesso a entità di alto profilo o a organizzazioni che svolgono funzioni nella società, come governi, aziende di trasporto pubblico o infrastrutture critiche. Questo perché il potenziale impatto di un attacco a tali entità garantisce maggiore visibilità e aumenta la pressione sulle vittime per il pagamento del riscatto.
  • Le organizzazioni che gestiscono grandi volumi di dati sensibili o proprietari sono bersagli particolarmente attraenti. Il ransomware mira ad ottenere informazioni personali, proprietà intellettuale, dati finanziari, ecc.
  • Entità con infrastrutture IT estese e reti complesse che presentano una quantità cospicua di vulnerabilità e punti di ingresso per questi attaccanti.
    A maggior ragione, queste organizzazioni possono avere difficoltà a monitorare ogni punto di accesso, rendendo più facile per gli attaccanti trovare una via per infiltrarsi senza essere rilevati.
  • Le organizzazioni con significative risorse finanziarie sono particolarmente mirate perché hanno i mezzi per pagare il riscatto richiesto. Gli attaccanti spesso conducono ricerche approfondite sulle loro potenziali vittime per assicurarsi che la richiesta di riscatto sia proporzionata alla capacità di pagamento dell’organizzazione.

Vittime note

Tra le vittime di RansomEXX ci sono state diverse organizzazioni di rilievo, inclusi:

  • Enti Governativi:  la Regione Lazio in Italia ha subito un attacco significativo che ha interessato anche il sito web utilizzato per la gestione delle prenotazioni dei vaccini COVID-19.
  • L’azienda italiana Ferrari e altre aziende di componentistica sono state colpite, sottolineando la mira del ransomware verso settori ad alta tecnologia e con una vasta base di dati sensibili.

Prevenzione della minaccia

Mantenere aggiornati sistema operativo e software è estremamente importante.
Le vulnerabilità non corrette offrono agli attaccanti vie d’accesso privilegiate, pertanto applicare regolarmente le patch di sicurezza riduce significativamente il rischio di compromissione.

Una soluzione antivirus per l’intera organizzazione consente ai sistemi di riconoscere le ultime minacce e quindi, un ulteriore livello di protezione dalle infezioni ransomware. Queste soluzioni, spesso dotate di moduli specifici per il rilevamento e la neutralizzazione degli attacchi ransomware, sono essenziali per intercettare il malware prima che esso possa arrecare danno.

L’adozione dell’approccio zero trust è altrettanto vitale.
Limitare l’accesso alle risorse di rete solo a chi ne ha strettamente bisogno non solo minimizza il rischio di diffusione del ransomware ma impedisce anche che gli attaccanti possano facilmente muoversi lateralmente all’interno della rete una volta guadagnato l’accesso.

Addirittura, l’integrazione di sistemi di prevenzione come l’Intrusion Prevention System (IPS) e il Web Application Firewall fornisce una difesa perimetrale aggiuntiva contro tentativi di intrusione, proteggendo i servizi esposti su Internet.