Inhalte springen
Kontakt
Open search

Sophos Press

Matrix: tutti i segreti del pericoloso attacco ransomware svelati nel report di Sophos

I ransomware personalizzati continuano a dominare la scena delle minacce informatiche. Il report sottolinea che il punto di accesso primario di Matrix sono i firewall con Remote Desktop Protocol attivato

Milano

Sophos (LSE: SOPH), leader mondiale per la protezione delle reti e dell’endpoint, ha presentato un’accurata analisi di Matrix, una nuova tipologia di ransomware. 

Questo malware è stato rilevato per la prima volta nel 2016 e da allora Sophos ne ha identificati ben 96 esemplari. 

Come nel caso di precedenti ransomware personalizzati, tra cui BitPaymer, Dharma e SamSam, gli hacker che attaccano i computer con Matrix si sono introdotti nelle reti aziendali sfruttando il Remote Desktop Protocol (RDP), uno strumento di accesso remoto integrato per computer Windows. Tuttavia, a differenza delle altre famiglie di ransomware, Matrix colpisce un singolo endpoint in rete, anziché diffondersi nella rete aziendale.  

I SophosLabs hanno ricostruito il codice in costante evoluzione e le tecniche utilizzate dagli aggressori, così come i metodi ritorsivi utilizzati per tentare di ottenere denaro dalle vittime. I cybercriminali hanno reso i loro attacchi sempre più evoluti aggiungendo nuovi file e script al fine di diffondere operazioni e payload diversificati sulla rete. 

Le richieste di ricatto sono incorporate nel codice di attacco, ma le vittime non sanno quanto dovranno pagare fino a quando non si mettono in contatto con gli aggressori. Nella maggior parte dei casi, gli hacker utilizzano un servizio di messaggistica istantanea anonimo e crittografato, chiamato bitmsg.me, ma adesso tale servizio è stato disattivato e i cyber criminali sono tornati a utilizzare normali account di posta elettronica per le loro comunicazioni. 

Gli hacker inviano la loro richiesta di riscatto in criptovaluta con controvalore in dollari. Questo è insolito, dato che questo tipo di richiesta viene fatta normalmente in criptomoneta: non è ancora chiaro se la richiesta di riscatto sia un tentativo per mischiare ulteriormente le carte o semplicemente un modo per speculare sulle fluttuazioni del cambio dollaro/moneta virtuale. 

Sulla base delle comunicazioni intercorse tra i SophosLabs e gli aggressori, le richieste di riscatto inizialmente erano di 2.500 dollari ma con il col passare del tempo, e forse a causa del mancato pagamento, gli hacker hanno progressivamente ridotto la cifra. 

Matrix si può considerare come il “coltellino svizzero” del mondo dei ransomware, con varianti più recenti in grado di scansionare e trovare nuovi potenziali bersagli una volta inserite nella rete. Nonostante i campioni rilevati siano ancora limitati non bisogna sottovalutare questa minaccia: Matrix si sta evolvendo velocemente e gli hacker mettono a frutto quanto imparato nel corso di ogni attacco per sviluppare nuove versioni sempre più aggressive. 

Il Threat Report 2019 di Sophos aveva già rilevato una crescente diffusione dei ransomware personalizzati ed è fondamentale che le aziende rimangano sempre vigili e che si impegnino nell’implementare tutte le soluzioni di sicurezza volte ad evitare questo tipo di minaccia. 

In particolare, Sophos raccomanda quattro mosse fondamentali per non diventare un bersaglio di Matrix e di ransomware simili: 

  • Limitare l'accesso alle applicazioni di controllo remoto come Remote Desktop (RDP) e VNC;
  • Effettuare scansioni complete e regolari in cerca di eventuali vulnerabilità, svolgendo periodici penetration test su tutta la rete;
  • Implementare l’autenticazione multifattoriale per sistemi interni sensibili, anche per i dipendenti su LAN o VPN;
  • Creare backup offline e offsite e mettere a punto un piano di disaster recovery che comprenda il ripristino di dati e sistemi per tutta l’azienda in un unico momento;

 Per ulteriori informazioni è disponibile il report completo Matrix: A Low-Key Targeted Ransomware report by Sophos.

Über Sophos

Sophos ist ein führender Anbieter im Bereich Cybersicherheit und schützt weltweit 600.000 Unternehmen und Organisationen mit einer KI-gestützten Plattform und von Experten bereitgestellten Services. Sophos unterstützt Unternehmen und Organisationen unabhängig von ihrem aktuellen Sicherheitsniveau und entwickelt sich mit ihnen weiter, um Cyberangriffe erfolgreich abzuwehren. Die Lösungen von Sophos kombinieren maschinelles Lernen, Automatisierung und Echtzeit-Bedrohungsinformationen mit der menschlichen Expertise der Sophos X-Ops. So entsteht modernster Schutz mit einer 24/7 aktiven Erkennung, Analyse und Abwehr von Bedrohungen.

Das Sophos-Portfolio beinhaltet branchenührende Managed Detection and Response Services (MDR) sowie umfassende Cybersecurity-Technologien– darunter Schutz für Endpoints, Netzwerke, E-Mails und Cloud-Umgebungen, XDR (Extended Detection and Response), ITDR (Identity Threat Detection and Response) und Next-Gen-SIEM. Ergänzt wird das Angebot durch Beratungs-Services, die Unternehmen und Organisationen helfen, Risiken proaktiv zu reduzieren und schneller zu reagieren – mit umfassender Transparenz und Skalierbarkeit, um Bedrohungen immer einen Schritt voraus zu sein.

Der Vertrieb der Sophos-Lösungen erfolgt über ein globales Partner-Netzwerk, das Managed Service Provider (MSPs), Managed Security Service Provider (MSSPs), Reseller und Distributoren, Marketplace-Integrationen und Cyber Risk Partner umfasst. So können Unternehmen und Organisationen flexibel auf vertrauensvolle Partnerschaften setzen, wenn es um die Sicherheit ihres Geschäfts geht. Der Hauptsitz von Sophos befindet sich in Oxford, Großbritannien. Weitere Informationen finden Sie unter www.sophos.de.