Il team di sicurezza di Microsoft ha emesso un avviso su un nuovo ceppo di ransomware usato negli ultimi due mesi che si nasconde nelle reti per settimane prima di colpire e viene distribuito in attacchi “Human-operated”.
Il ransomware, noto come “PonyFinal”, è basato su Java ed è ufficialmente una sottosezione della categoria ransomware. Secondo l’avviso pubblicato su Twitter, esfiltra le informazioni sugli ambienti infetti, si diffonde lateralmente e attende prima di colpire: gli operatori continuano a crittografare i file in un secondo momento quando la probabilità del pagamento del target è considerata più alta.
Negli attacchi di ransomware Human-operated, gli attaccanti violano le reti aziendali e distribuiscono il ransomware stesso, in contrasto con i classici attacchi ransomware diffusi tramite spam e-mail o kit di exploit, in cui il processo di infezione si basa sull’inganno degli utenti nell’avvio del payload.
In questo tipo di attacco ransomware, tutto ha inizio dall’uso di credenziali rubate: attraverso il loro utilizzo, errori di configurazione o vulnerabilità note, gli hacker accedono alla rete. A quel punto impiegano tecniche di escalation dei privilegi e iniziano a spostarsi lateralmente per analizzare le informazioni disponibili. Attraverso malware poi esfiltrano i dati. La strategia e il payload usati vengono scelti in relazione all’infrastruttura dell’azienda target vittima.I ricercatori di Microsoft hanno monitorato alcuni incidenti in cui è stato distribuito PonyFinal. Gli attacchi sono iniziati all’inizio di aprile. Usualmente il punto di intrusione è un account sul server di gestione dei sistemi di un’azienda. La violazione avviene mediante attacchi di brute force che violano le password deboli. Una volta all’interno, gli attaccanti distribuiscono uno script Visual Basic che esegue una shell inversa di PowerShell che scarica e ruba i dati locali. Compresa quindi la struttura della rete vittima, si diffondono ad altri sistemi locali e distribuiscono il ransomware PonyFinal tramite un file MSI che contiene due file batch e il payload. Le indagini di Microsoft mostrano che PonyFinal crittografa i file in una precisa data e ora.
I target a cui mirano sono le workstation in cui è installato Java Runtime Environment (JRE), particolarmente adatto per essere sfruttato da PonyFinal. In assenza di questa dotazione, gli hacker installano JRE sui sistemi prima di eseguire il ransomware. I file crittografati con PonyFinal hanno di solito un’estensione aggiuntiva “.enc”. La richiesta di riscatto è contenuta in un file di testo README_files.txt, insieme alle istruzioni di pagamento. Secondo Microsoft lo schema di crittografia del ransomware è considerato sicuro; al momento non c’è un decryptor gratuito per recuperare i file crittografati”.
Attualmente PonyFinal ha colpito poche vittime, confermando che si tratta di uno strumento utilizzato dagli attaccanti per azioni mirate contro target specifici. Secondo gli esperti di Microsoft, gli hacker dietro a PonyFinal non sono nuovi. Inoltre, i ransomware “Human-operated” sono spesso legati a più gruppi criminali, raramente sono esclusivi di un singolo gruppo.
Microsoft considera che PonyFinal sia uno dei ceppi ransomware che ha ripetutamente preso di mira il settore sanitario durante la pandemia da COVID-19.
Per difendersi da questo tipo di minaccia, Microsoft consiglia di proteggere le risorse esposte a Internet e di accertarsi che tutti i sistemi siano costantemente aggiornati con le patch più recenti; è necessario un monitoraggio costante alla ricerca di vulnerabilità e configurazioni errate, nonché l’adozione dei principi di privilegio minimo.