Sophos, le peculiarità del pericoloso ransomware Matrix

Sophos, le peculiarità del pericoloso ransomware Matrix

Sophos ha annunciato una interessante ed accurata analisi sulla pericolosa famiglia di malware Matrix, che dal 2016 a oggi conta ben 96 esemplari.

Grazie a Matrix, in maniera simile a quanto avvenuto con BitPaymer, Dharma e SamSam (fra gli altri) gli hacker si sono introdotti nelle reti aziendali sfruttando il Remote Desktop Protocol. La differenza sostanziale, rispetto alle altre famiglie di ransomware precedentemente identificate, sta nel risultato dell’attacco. Matrix infatti colpisce un singolo endpoint della rete, senza propagarsi a tutto il network aziendale.

I SophosLabs hanno ricostruito il codice in costante evoluzione e le tecniche utilizzate dagli aggressori, così come i metodi ritorsivi utilizzati per tentare di ottenere denaro dalle vittime. I cybercriminali hanno reso i loro attacchi sempre più evoluti aggiungendo nuovi file e script al fine di diffondere operazioni e payload diversificati sulla rete.
Le richieste di riscatto sono incorporate nel codice di attacco, ma le vittime non sapranno quanto dovranno pagare fino a quando non si metteranno in contatto con gli aggressori. Nella maggior parte dei casi, gli hacker utilizzano un servizio di messaggistica istantanea anonimo e crittografato, chiamato bitmsg.me, ma adesso tale servizio è stato disattivato e i cyber criminali sono tornati a utilizzare normali account di posta elettronica per le loro comunicazioni.

Gli hacker inviano la richiesta di riscatto in criptovaluta, con controvalore in dollari. Questo è insolito, dato che normalmente viene chiesta esclusivamente criptomoneta: non è quindi eivdente se la richiesta di riscatto sia un tentativo per confondere ulteriormente le carte, o se piuttosto sia una ulteriore speculazione basta sui tassi di cambio dollaro/criptomoneta.

Sulla base delle comunicazioni intercorse tra i SophosLabs e gli aggressori, le richieste di riscatto inizialmente erano di 2.500 dollari ma con il col passare del tempo, e forse a causa del mancato pagamento, gli hacker hanno progressivamente ridotto la cifra.

Matrix si può considerare come il “coltellino svizzero” del mondo dei ransomware, con varianti più recenti in grado di scansionare e trovare nuovi potenziali bersagli una volta inserite nella rete. Nonostante i campioni rilevati siano ancora limitati non bisogna sottovalutare questa minaccia: Matrix si sta evolvendo velocemente e gli hacker mettono a frutto quanto imparato nel corso di ogni attacco per sviluppare nuove versioni sempre più aggressive.
Il Threat Report 2019 di Sophos aveva già rilevato una crescente diffusione dei ransomware personalizzati ed è fondamentale che le aziende rimangano sempre vigili e che si impegnino nell’implementare tutte le soluzioni di sicurezza volte ad evitare questo tipo di minaccia.

In particolare, Sophos raccomanda quattro mosse fondamentali per non diventare un bersaglio di Matrix e di ransomware simili:

- Limitare l'accesso alle applicazioni di controllo remoto come Remote Desktop (RDP) e VNC.
- Effettuare scansioni complete e regolari in cerca di eventuali vulnerabilità, svolgendo periodici penetration test su tutta la rete.
- Implementare l’autenticazione multifattoriale per sistemi interni sensibili, anche per i dipendenti su LAN o VPN.
- Creare backup offline e offsite e mettere a punto un piano di disaster recovery che comprenda il ripristino di dati e sistemi per tutta l’azienda in un unico momento.