I ricercatori di sicurezza del KISA (Korean Internet & Security Agency) hanno individuato una falla nella routine di criptazione del ransomare Rhysida che ha consentito loro di creare un decryptor Windows per ripristinare i file gratuitamente.
Ransomware Rhysida in breve
Rhysida è una operazione ransomware lanciata a meta del 2023: appartenente alla famiglia dei Ransomware as a Service. Ha conquistato una certa fama e rilevanza dopo una vera e propria ondata di attacchi contro il settore sanitario che ha obbligato governi, agenzie e aziende a prestare maggiore attenzione a questa minaccia.
Nel Novembre del 2023 FBI e CISA hanno dedicato uno specifico alert su questa minaccia. In Italia ha già colpito varie aziende ed enti pubblici: dal Comune di Ferrara all’Università del Salento passando per varie PMI.
Colpisce un pò in tutti i settori ma ha fatto terreno di elezioni l’attacco contro il settore sanitario. Tracciando nei fatti una netta linea: alcune cybergang ransomware hanno più volte ribadito di non voler attaccare il settore sanitario, dato il rischio che corrono pazienti e vittime innocenti. Tantochè alcuni gruppi ransomware hanno anche rilasciato gratuitamente ad alcune strutture sanitarie il decryptor per riportare in chiaro i file.
Venendo alla catena di attacco, Rhysida utilizza email di phishing per ottenere il primo accesso alla rete, quindi utilizza Cobalt Strike e una serie di script Powershell. Ogni script ha una funzionalità specifica e consentono agli attaccanti di arrestare i processi degli antivirus, cancellare le shadow copies, modificare le impostazioni RDP ecc…
Per approfondire > Il Ransomware Rhysida colpisce di nuovo in Italia: online i dati di Istituto Prosperius
La falla nell’encryptor di Rhysida
I ricercatori sudcoreani hanno esaminato Ryshida e individuato una vulnerabilità di implementazione in uno schema di criptazione del ransomware, in dettaglio nel generatore randomico di numeri (CSPRNG). Generatore che ha un ruolo essenziale nella criptazione in quanto aiuta a generare la chiave di criptazione privata unica per ogni attacco.
Sfruttando questa falla, i ricercatori hanno potuto ricostruire lo stato interno del CSPRNG durante l’attacco e lo hanno utilizzato per creare una chiave valida per invertire la criptazione dei dati e riportarli in chiaro.
Teniamo di conto che il ransomware Rhysida utilizza la criptazione intermittente, una tattica che consiste nel criptare parte dei file lasciando il resto in chiaro. Questo è stato fondamentale per i ricercatori: per impostare una routine di decriptazione, i ricercatori dovevano infatti comprendere il modello di criptazione, quindi applicare in maniera selettiva la chiave corretta alle parti di file interessate.
Il decryptor gratuito per Rhysida
La Korean Internet & Security Agency ha reso gratuitamente disponibile, sul proprio sito web, il decryptor per Rhysida, che consente di riportare in chiaro i file criptati dal ransomware.
Le vittime del ransomware Rhysida potranno utilizzare questo decryptor.
NB: non possiamo garantire la sicurezza nè l’efficacia del tool!
L’esperto di ransomware Fabian Wosar ha comunque già dichiarato che il decryptor funziona soltano per i file criptati con l’encryptor di Rhysida per Windows. Non può quindi decriptare file criptati su VMware ESXi o tramite l’encryptor Powershell.
Rendere pubbliche le falle dei ransomware è positivo o negativo?
Su questo decryptor si è riacceso un dibattito piuttosto interessante e che, fondamentalmente da sempre, divide la comunità dei ricercatori di sicurezza. Fabian Wosar ha infatti dichiarato a Bleeping Computer che questa falla era già nota da tempo. Alcune aziende di cyber security e alcune entità governative l’hanno sfruttata privatamente a partire dal Maggio 2023.
Non solo: questa falla è stata individuata da almeno altri tre diverse parti, indipendenti tra loro, che poi hanno deciso di farla circolare privatamente anzichè renderla pubblica.
“Per quanto riguarda chi siano queste parti: Avast, che l’ha individuata nell’ottobre dello scorso anno, il CERT francese, che ha scritto e pubblicato un documento privato a riguardo, e io stesso, che questa vulnerabilità l’ho scoperta a Maggio”
ha dichiarato Wosar.
There goes another one. They are obviously not the first one who found this vulnerability. This was independently found by at least three other parties, who chose to circulate it in private instead of seeking publication and alerting Rhysida about their problem. https://t.co/J7gNlnMjpk
— Fabian Wosar (@fwosar) February 12, 2024
Wosar parla addirittura di petabyte di dati, centinaia di macchine decriptate con successo a partire dal Maggio 2023.
Il problema è che, con la pubblicazione da parte del KISA del decryptor e del paper tecnico che descrive in dettaglio la vulnerabilità, c’è da aspettarsi che i gestori del ransomware Rhysida procederanno a risolvere la falla. Rendendo quindi le prossime infezioni resistenti a questa tecnica di decriptazione.
Da sua parte, la KISA si è difesa dicendo che:
“Per quanto ne sappiamo, molte società di sicurezza informatica divulgano tecniche di decriptazione sui propri blog / Githubs ecc… e questo sicuramente aiuta a mitigare i danni. Abbiamo sviluppato lo strumento di decriptazione e abbiamo deciso di pubblicare il documento per dimostrarlo e presentarlo in maniera efficace. Pubblichiamo la nostra dettagliata ricerca nella speranza che possa contribuire alla resilienza delle vittime dei ransomware”:
Proteggersi dai ransomware: step basilari
Premettendo che la sicurezza informatica al 100% non esiste e che gli strumenti, le soluzioni e la postura difensiva variano da azienda ad azienda, da rete a rete, i punti sottostanti sono il minimo indispensabile per raggiungere un livello accettabile di sicurezza informatica.
- Predisponi un piano di backup:
è fondamentale dotarsi di soluzioni di backup e di organizzarsi per eseguire backup di tutti i dati a cadenza regolare. I backup stessi andranno testati regolarmente, per verificare che i dati siano integri. Disporre di backup integri e il più recenti possibile consente di minimizzare la perdita dei dati e accelerare i processi di rispristino. E’ fondamentale isolare dalla rete i backup critici per evitare che, in caso di attacco ransomware, finiscano criptati anche i backup. A tale scopo, ti consigliamo di valutare la nostra soluzione Strongbox Cloud PRO, appositamente pensata per le PMI. - Mantieni sempre aggiornato il sistema operativo, i software e gli applicativi in uso:
le vulnerabilità sono le porte di accesso che consentono agli attaccanti di accedere alle reti. Verifica che questi software siano sempre aggiornati all’ultima versione disponibile ed installa le patch consigliate dal vendor. La suite di soluzioni di sicurezza aziendali Seqrite ha funzionalità specifiche a tale scopo: dalla gestione centralizzata delle patch alla scansione delle vulnerabilità. - Scegli una solida soluzione antivirus e mantienila sempre aggiornata:
sempre più soluzioni antivirus si sono dotate di strumenti specifici per il contrasto agli attacchi ransomware. Scopri di più sulla funzionalità anti ransomware di Quick Heal / Seqrite, tecnologia brevettata negli Stati Uniti. - Adotta l’approccio zero trust:
applica il principio del “privilegio minimo” per tutti gli utenti: imposta cioè, utente per utente, solo le permissioni che gli sono effettivamente necessarie per svolgere le proprie mansioni. Fai si che ogni utente possa accedere soltanto alle informazioni che gli sono indispensabili.
Per approfondire > Approccio di cybersecurity Zero Trust: perché, come e quanto è importante per le aziende con forza lavoro remota - Evita di scaricare file o cliccare su link contenuti nelle email:
spesso l’accesso alle reti da parte degli attaccanti non avviene tramite sofisticate tecniche di attacco, ma anzi l’attaccante fa breccia nel punto più debole della catena della cyber sicurezza: l’utente. E’ fondamentale non fare click su link né scaricare allegati contenuti in email inaspettate, sospette, improvvise. Infine non abilitare mai le macro contenute nei documenti circolanti via email, a meno che non ci sia l’assoluta certezza della legittimità della comunicazione.
Per Approfondire > Attacchi basati sulle macro di Office: come funzionano? Breve vademecum - Forma i dipendenti, i collaboratori e chiunque acceda alla rete:
come detto, l’anello debole della catena di cyber sicurezza e sicurezza dei dati è l’utente. Forma dipendenti e collaboratori, rendili partecipi dei protocolli di sicurezza e consapevoli e sensibili rispetto ai rischi, almeno quelli più diffusi. Stabilisci un protocollo di reazione in caso di incidente informatico, così che tutti sappiano cosa fare in caso dovesse verificarsi un attacco ransomware. - Non esporre mai direttamente in internet le connessioni Remote Desktop Protocol. Se proprio hai necessità di usare l’RDP, fallo sempre tramite una VPN.
- Implementa un modello di sicurezza stratificato (multi livello):
nella scelta di un approccio stratificato alla sicurezza, consigliamo di valutare attentamente:
> sicurezza delle reti e dei server;
> gestione degli endpoint;
> gestione dei dispositivi mobile.
Per approfondire > Implementa un modello di sicurezza stratificato con Seqrite! - Implementa sistemi di protezione preventiva:
come l’Intrusion Prevention Sistem (IPS) e il Web Application Firewall. Saranno utili protezioni perimetrali, se posti a difesa dei servizi esposti su Internet. - Adotta un SOC – Security Operation Center:
un SOC è un vero e proprio centro operativo dedicato alla sicurezza informatica il cui scopo, nel complesso, è monitorare costantemente la rete aziendale in cerca di attività anomale o sospette.
Per approfondire > SOC – Security Operation Center: che cosa, perché, come
Hai bisogno di supporto per recuperare i tuoi dati criptati?