Gli attori che muovono i fili delle minacce ransomware sono estremamente abili, lo dimostra il fatto che quotidianamente vengono rilevate nuove informazioni in merito al rilascio di nuovi malware. Il panorama ransomware in Italia è estremamente critico dal momento tanto che spesso e volentieri le aziende sono sprovviste di tecnologie e esperienza sufficiente per far fronte al problema.
La direzione da incentivare tra le aziende è indubbiamente quella di puntare sulle attività di prevenzione ransomware e per quanto possibile, mantenersi aggiornati sulle tecniche utilizzate da questi criminali per violare le reti informatiche.
Ecco perché oggi, ci occuperemo di descrivere la cybergang che ha dato vita a Quantum ransomware o ransomware quantistico.
Alla fine dell’estate 2021, Quantum ransomware e BlackCat lavorano a gran forza allo sviluppo di una nuova rete di attacchi mirati, tanto da oscurare in parte l’attività della cybergang Conti nello sfruttamento della BotNet Emotet per la diffusione della minaccia.
Emotet in particolare è una botnet nata nel 2014 con lo scopo di intercettare dati sensibili dal traffico internet.
Tuttavia, gli aggiornamenti seguenti l’hanno sempre più trasformata in un loader di malware ideale per le sue capacità di diffusione e infezione.
Nel novembre 2021 una imponente azione dell’Europol aveva sostanzialmente eliminato questa infrastruttura ed erano stati proprio gli affiliati al gruppo Conti a rimetterla in funzione. Infine, dopo lo smantellamento del gruppo ad inizio estate i ricercatori hanno rilevato che sono stati proprio i gruppi Blackcat e Quantum a raccogliere questa preziosa eredità.
Emotet sarebbe ad oggi utilizzata per installare il malware attraverso movimenti laterali, ovvero di incrementare il numero di dispositivi infetti passando da un device all’altro attraverso la rete.
Quantum ransomware è un cryptovirus recente, ancora poco meno conosciuto che rientra nella categoria dei RaaS. La minaccia ha colpito di recente un gran numero di organizzazioni sanitarie strategiche, abbattendo ogni convinzione e regola morale , precedentemente impiegata da altri gruppi di cyber criminali.
Quantum virus è un ransomware, ossia un malware in grado di criptare dati e file che riesce ad intercettare in rete rendendoli di fatto inaccessibili per il legittimo proprietario ma anche da qualsiasi altro utente. Gli algoritmi di crittografia utilizzati da Quantum Ransomware, anche in questo caso, sono tra i più complessi ed oggettivamente è impensabile decifrarli. I criminali fanno leva proprio su questo, e sulla minaccia di divulgare le parti di dati che sono riusciti a rubare, per estorcere denaro in criptovalute alle vittime.
In caso di attacco non è difficile riconoscere l’identità del ransomware Quantum dal titolo della nota di riscatto che la minaccia recapita alle sue vittime. Inoltre, il ransomware fa in modo di rinominare tutti i file che ha violato con l’aggiunta di una particolare dicitura di estensione: .quantum.
Oltre a questo, il ransomware si palesa ufficialmente dal momento che recapita un file HTML contenente tutte le informazioni che i ricattatori ritengono utili al loro scopo:
- link per il sito Tor dove trattare per il riscatto
- strumenti di pressione psicologica aggiuntivi.
In questo caso, il file di ransomware note è denominato “README_TO_DECRYPT.html” e ai malcapitati sono concesse solo 48 ore per il pagamento che presumibilmente fornirà la chiave di decifrazione e impedirà la pubblicazione dei dati esfiltrati.
Per capire meglio tutte le dinamiche che si nascondono un attacco così complesso, proviamo seguire e comprendere uno per volta tutti i passaggi di un quantum ransomware attack.
Accesso alla rete
Come in molti casi analoghi, ransomware Quantum si diffonde tra le sue vittime grazie ad un’e-mail di phishing contenente un allegato infetto. Spesso e volentieri l’allegato infetto è un’immagine. Il ransomware è talmente avanzato che è in grado di diffondersi in sole quattro ore dall’installazione del payload.
La minaccia predilige utenti privati anziché aziende.
L’immagine infetta contiene un file DLL e un link indispensabile alla sua esecuzione. Una volta che l’utente fa clic sull’allegato infetto, sarà in grado di vedere solo un file chiamato “documento.lnk”.
Il file DLL non sarà visibile poiché resta silente all’interno dell’allegato. Si tratta di una modalità di payload già in uso da altri malware ransomware tra cui XingLocker e dalle cybergang Conti e REvil.
Se nessun servizio di difesa interviene a tutela del device, il ransomware ottiene l’accesso alla rete che ospita il dispositivo infetto.
Payload di seconda fase
Al fine di consolidare l’accesso alla rete ed espandere l’infezione, ransomware Quantum fa un ulteriore passo in avanti.
Questo secondo step viene effettuato manualmente dall’attaccante che si connette al device in remoto. Vengono eseguiti alcuni comandi con l’intento di rilevare la struttura delle directory.
A questo punto viene installato Cobalt Strike con una tecnica che svuota un processo lo sostituisce con un altro. Cobalt Strike è uno strumento ideato originariamente per supportare le attività di test delle difese informatiche da parte dei blue team.
Accesso alle credenziali
Successivamente Cobalt Strike procede con l’estrazione delle credenziali di amministratore dalla memoria LSASS.
Saranno proprio queste azioni a concedere la possibilità all’attaccante di eseguire movimenti laterali nel dominio.
Movimenti laterali
Il passo successivo è quello di utilizzare effettivamente lo strumento Cobalt Strike per potersi muovere lateralmente in rete.
In questo modo, l’attaccante è in grado di verificare la presenza di server o altri punti critici e progressivamente, avrà accesso ai processi critici dell’organizzazione.
Capillarità dell’infezione ransomware
Infine, tramite una cartella condivisa l’attaccante potrà copiare simultaneamente l’eseguibile di Quantum in tutti gli host.
Con un ultimo passaggio il pirata informatico utilizza delle azioni WMI per verificare che il codice possa essere eseguito correttamente su tutti i sistemi ove è stato copiato.
A questo punto non resta che avviare l’esecuzione. L’hacker ricorre allo strumento PsExec per raggiungere lo scopo.
Esfiltrazione dei dati
Purtroppo, non conosciamo ancora il processo attraverso il quale, ransomware Quantum riesce a carpire dati e file. Tuttavia, è possibile dedurre che le informazioni vengano esfiltrate e trasmette all’esterno tramite Cobalt Strike o IcedID.
Nota di riscatto o ransomware quantum note
Riportiamo il contenuto della nota di riscatto di Quantum, tradotta in italiano. Resta implicito che Quantum solitamente richiede alle sue vittime il pagamento di 150/200.000 dollari, mentre per alcuni soggetti l’importo è stato molto più ingente.
Questo messaggio contiene informazioni su come risolvere i problemi che hai con la tua rete.
I file sulle workstation nella tua rete sono stati crittografati e qualsiasi tuo tentativo di modificarli,
decrittografarli o rinominarli potrebbe distruggere il contenuto.
L’unico modo per recuperare i file è una decrittazione con Key, fornita da Quantum Locker.
Durante il periodo in cui la tua rete era sotto il nostro controllo, abbiamo scaricato un enorme volume di informazioni.
Ora è archiviato sui nostri server con accesso ad alta sicurezza. Queste informazioni contengono molti dati sensibili, privati e personali.
La pubblicazione di tali dati causerà gravi conseguenze e persino interruzioni dell’attività.
Non è una minaccia, al contrario: è un manuale su come uscirne.
Il team Quantum non mira a danneggiare la tua azienda, i nostri obiettivi sono solo finanziari.
Dopo un pagamento riceverai la decrittazione della rete, la distruzione completa dei dati scaricati, informazioni sulle vulnerabilità della tua rete e sui punti di penetrazione.
Se decidi di non negoziare, in 48 ore il fatto dell’attacco e tutte le tue informazioni saranno pubblicate sul nostro sito e saranno promosse tra decine di forum informatici, agenzie di stampa, siti web ecc.
Per contattare il nostro supporto e avviare le trattative, visita la nostra chat di supporto.
È semplice, sicuro ed è possibile impostare una password per evitare l’intervento di persone non autorizzate.
Il campo della password deve essere vuoto per il primo accesso.
Nota che questo server è disponibile solo tramite il browser Tor.
PS Come ottenere il browser TOR – vedere su hxxps://www.torproject.org .
Negoziazione
Quantum ransomware offre alle proprie vittime la possibilità di negoziare l’importo della cifra di riscatto all’interno di un apposito portale ovviamente accessibile solo tramite browser Tor, che permette di accedere ad una porzione del dark web e collegarsi con il “custumer care” della cybergang.
Sul portale si viene reindirizzati alla chat direttamente con i criminali.
Quantum ransomware si distingue degli altri ransomware per la rapidità di esecuzione.
Per completare l’attacco di Quantum ransomware sono sufficienti all’incirca 4 ore dall’avvio del payload fino alla fine della fase di criptazione dei file.
Altre cyber gang tra cui Conti, impiegano circa 30-40 giorni per completare tutto il ciclo di attacco.
Chi è Onorato Informatica?
Azienda specializzata in sicurezza informatica da oltre 15 anni, certificata ISO 9001 e 27001
Onorato Informatica è un’azienda informatica, specializzata in sicurezza informatica, da oltre 15 anni.
Forniamo servizi di Vulnerability Assessment e Penetration Test a oltre 4500 clienti in tutta Italia.
Ci occupiamo di Cyber Security dalle nostre sedi di Mantova, Parma, Milano e Los Angeles. Siamo un’azienda certificata ISO 9001, ISO 27001 e azienda etica.
Se vuoi conoscere i servizi di sicurezza informatica e sapere come possiamo aiutarti, contattaci.
- Autore articolo
- Ultimi articoli
Laureata in Fisica, sta proseguendo gli studi in “Fisica dell’atmosfera, climatologia e meteorologia” presso l’università di Roma Tor Vergata. Nel frattempo, unisce la sua passione per la scrittura a quella per la cybersecurity per promuovere la consapevolezza digitale attraverso il blog di Onorato Informatica.
