A maggio 2023, il panorama della sicurezza informatica ha assistito all’emergere di un nuovo e formidabile giocatore: NoEscape Ransomware.
Questo malware, che si ritiene essere un discendente diretto del noto gruppo ransomware Avaddon, ha introdotto una nuova era nelle operazioni di cyber-estorsione, mettendo in allerta organizzazioni di tutto il mondo.

noescape ransomware

Cos’è NoEscape Ransomware?

NoEscape rappresenta la nuova frontiera dei Ransomware-as-a-Service (RaaS), una modalità di attacco che permette anche agli attori della minaccia meno esperti di lanciare minacce ransomware. A differenza dei suoi predecessori, NoEscape è stato sviluppato da zero, con un codice completamente nuovo che non attinge da leak o codici sorgente di altri gruppi ransomware. Questo approccio non solo rende NoEscape particolarmente insidioso ma anche difficile da tracciare e contrastare.

Caratteristiche distintive

  • Il ransomware è scritto in C++, NoEscape utilizza algoritmi di crittografia avanzati come RSA e ChaCha20, dimostrando capacità tecniche notevoli.
  • Dall’healthcare all’istruzione, passando per il settore finanziario, NoEscape non fa distinzioni, attaccando organizzazioni appartenenti a settori differenti in oltre 50 paesi.
  • NoEscape spinge oltre i confini dell’estorsione tradizionale, minacciando la pubblicazione di dati rubati per esercitare ulteriore pressione sulle vittime.

Connessioni con Avaddon

Tuttavia, dobbiamo segnalare alcune somiglianze tra NoEscape e Avaddon ransomware, collettivo ormai (almeno apparentemente) smantellato.
I due ransomware ricorrono dello stesso provider di hosting e le similitudini nelle comunicazioni pubbliche suggeriscono possibile legame tra i due gruppi, alimentando speculazioni sulla continuità delle operazioni di ransomware sotto una nuova bandiera.

Analisi tecnica del ransomware Noescape

Il ransomware NoEscape si distingue nel panorama delle minacce informatiche per la sua sofisticata ingegneria, le tecniche avanzate di diffusione e i protocolli di crittografia. Ecco una disamina approfondita delle sue caratteristiche tecniche:

Linguaggio di programmazione e struttura

NoEscape è sviluppato in linguaggio C++, scelta che riflette una predilezione per l’efficienza e la rapidità nell’esecuzione del payload.
La programmazione in C++ consente agli autori di questo ransomware di sfruttare pienamente le risorse di sistema delle macchine infette, ottimizzando le operazioni di crittografia e la diffusione del malware.

Meccanismi di diffusione

Questo ransomware utilizza una serie di vettori per infiltrarsi nelle reti delle vittime.
Sebbene i dettagli specifici sui metodi di diffusione non siano stati completamente divulgati, le tecniche comuni includono l’ingegneria sociale tramite campagne di phishing, l’exploit di vulnerabilità software non patchate e l’utilizzo di dropper o loader che installano il payload di NoEscape senza destare sospetti.

Tecniche di crittografia

NoEscape implementa un meccanismo di crittografia ibrido, combinando l’uso degli algoritmi RSA e ChaCha20.
L’algoritmo RSA è utilizzato per criptare le chiavi di sessione ChaCha20, che a loro volta sono impiegate per criptare i file sulle macchine infette. Questa combinazione offre un compromesso tra sicurezza (RSA) e velocità (ChaCha20), rendendo la crittografia sia robusta che efficiente dal punto di vista delle prestazioni.

Comportamento all’interno delle reti

Una volta all’interno della rete, NoEscape dimostra un comportamento aggressivo e sofisticato.
È progettato per eseguire scansioni delle reti locali alla ricerca di unità e condivisioni di rete accessibili, estendendo così l’ambito della sua crittografia oltre la macchina locale.

Evoluzione e adattamento

La natura modulare e configurabile di NoEscape suggerisce che gli sviluppatori dietro questo ransomware mirano a mantenere la loro minaccia rilevante e difficile da contrastare. L’aggiornamento continuo delle tecniche di evasione e la personalizzazione dei payload per specifici obiettivi sono chiari indicatori di un approccio adattativo alla cybercriminalità.

Difesa e mitigazione

La mitigazione di attacchi ransomware su larga scala implica l’adozione di strategie complesse e integrate, rivolte sia alla prevenzione che alla risposta immediata. Al cuore di queste strategie vi è la necessità di creare una cultura della sicurezza all’interno dell’organizzazione, dove ogni membro è consapevole dei rischi associati alle minacce informatiche e sa come agire per prevenirle. Questo include la capacità di identificare tentativi di phishing e altre tecniche di ingegneria sociale, che sono spesso il primo passo per un attacco ransomware.

Una robusta politica di backup e ripristino si rivela essenziale. Avere copie di sicurezza aggiornate e separate dalla rete principale assicura che, in caso di attacco, i dati possano essere recuperati con minori perdite possibili. Questo sistema deve essere accompagnato da test regolari dei piani di ripristino per garantire la loro efficacia in scenari reali.

La sicurezza perimetrale e la segmentazione della rete svolgono un ruolo critico nel limitare la diffusione del ransomware una volta che questo ha violato la prima linea di difesa. Implementare firewall avanzati, sistemi di rilevazione e prevenzione delle intrusioni, e assicurare che solo il traffico necessario possa attraversare i segmenti della rete, può ridurre significativamente l’impatto di un attacco.

L’aggiornamento e la manutenzione regolare dei sistemi sono altrettanto cruciali. Garantire che tutti i sistemi operativi e le applicazioni siano aggiornati con le ultime patch di sicurezza riduce le vulnerabilità che gli aggressori possono sfruttare per infiltrarsi nelle reti.

Infine, una risposta rapida e coordinata all’attacco può fare la differenza tra una lieve interruzione e una crisi catastrofica. Questo include avere un piano di risposta agli incidenti ben definito, con team dedicati che sanno esattamente come agire in caso di attacco, dalla comunicazione interna ed esterna alla collaborazione con le autorità di sicurezza informatica per mitigare l’attacco e perseguire i responsabili.