I ransomware non hanno confini e, una minaccia che fino a poco prima era relegata all’altro capo del mondo, oggi può arrivare facilmente a prendere di mira i nostri dispositivi.
Chiaro esempio, in tal senso, è il ransomware Play. La campagna, inizialmente concentrata sulla cittadina californiana di Oakland, ha spostato le proprie mire sul vecchio continente (e non solo). Negli ultimi giorni, secondo i ricercatori di Adlumin, sono stati segnalati casi nel Regno Unito, in Australia e anche nella nostra Italia.
Un’aspetto problematico legato a Play è collegato al suo modus operandi. L’agente malevolo, infatti, agisce attraverso un sistema di crittografia intermittente. Ciò significa che il ransomware agisce solo su parte dei file, eludendo con efficacia buona parte delle tecniche di rilevamento.
Gli obiettivi della campagna sembrano essere aziende di medie dimensioni, in prevalenza impegnate in settori come finanza, produttori software, corrieri e studi legali.
Play, il ransomware giunge dagli Stati Uniti e minaccia il vecchio continente
Stando agli esperti, gli attacchi coinvolgono servizi Managed Services Provider (MSP), con i cybercriminali che utilizzano gli strumenti di monitoraggio e gestione remoti (RMM) per ottenere un accesso illimitato alle reti e ai sistemi dei clienti di tali piattaforme.
È una tattica che altri autori di minacce hanno utilizzato con risultati devastanti per le vittime. L’esempio più clamoroso in questo contesto è relativo all’attacco del gruppo ransomware REvil a più MSP tramite vulnerabilità nello strumento di monitoraggio della rete Virtual System Administrator (VSA) di Kaseya. L’attacco ha portato alla crittografia dei dati sui sistemi di oltre 1.000 casi tra i clienti di questi MSP.
Kevin O’Connor, direttore della ricerca sulle minacce Adlumin, afferma che la ricerca della sua azienda dimostra che i cybercriminali ottengono l’accesso a sistemi di gestione privilegiati e strumenti RMM tramite campagne phishing, prendendo di mira i dipendenti degli MSP.
Come evitare l’infezione?
Utilizzando le campagne phishing come vettore principale, le procedure per evitare il ransomware Play sono abbastanza basilari.
Fare grande attenzione nel contesto della posta elettronica sospetta, con un occhi di riguardo a link e allegati. Adottare un antivirus di alto profilo e costantemente aggiornato, così come assumere un atteggiamento prudente, può aiutare a mitigare i rischi.