Se hai sempre pensato che i cybercriminali lancino un attacco e sperino che vada a buon fine, è il momento di ricrederti. L’ultima evoluzione della campagna Kraken ransomware mostra che gli attaccanti ora stanno letteralmente testando il terreno prima di passare all’attacco vero e proprio.
I ricercatori di Cisco Talos hanno appena scoperto un malware che esegue di nascosto un vero e proprio ransomware benchmark (cioè una valutazione dell’efficacia dell’eventuale ransomware) prima di cifrare davvero i file. È come se un ladro entrasse nel tuo ufficio, cronometrasse quanto tempo impiega a svuotare gli schedari e poi decidesse se colpire o meno. È esattamente ciò che fa questo malware, e dai risultati del “test” dipende quanta parte dei tuoi dati verrà compromessa e per quanto tempo la tua attività resterà bloccata.
La Nuova Mossa: Un Ransomware Che Testa Prima Il Sistema
Il ransomware performance benchmarking permette agli attaccanti di sfruttare la capacità del sistema per capire quanto aggressivamente possono cifrare i dati senza far scattare allarmi. Quando Kraken infetta una macchina, non scatena subito il caos. Al contrario, crea silenziosamente un file casuale inutile, lo cifra alla massima velocità possibile, misura il tempo impiegato e poi cancella ogni traccia.
Se il sistema è veloce, Kraken può optare per un full-encryption attack, bloccando quanti più dati possibile. Se invece il sistema appare più lento, il malware può passare a adaptive encryption ransomware tactics o a una partial-encryption, corrompendo i file quel tanto che basta per renderli inutilizzabili senza rallentare troppo il sistema e attirare l’attenzione.
In questo modo gli attaccanti personalizzano la distruzione. E siccome la partial encryption grava meno su CPU e storage, il malware può restare nascosto più a lungo, consentendo uno stealthy ransomware attack che si sviluppa senza essere notato.
I ransomware più vecchi si facevano scoprire subito: ventole al massimo, CPU al 100%, alert ovunque. Il Kraken benchmarking malware sfrutta invece la capacità del sistema di restare sotto il radar e aumentare drasticamente il tasso di successo.
Come Stare Un Passo Avanti Ai Ransomware Benchmark Attacks
Questo nuovo trucco di Kraken è un problema per tutte le aziende, non solo per le grandi imprese. Se le tue difese si basano solo sull’individuare comportamenti di sistema anomali, Kraken sta giocando su un livello completamente diverso.
Il benchmarking riduce i picchi sospetti di CPU, abbassando il rischio di rilevamento precoce. Inoltre aumenta le probabilità di successo dell’attacco, perché consente agli hacker di prendere decisioni basate sui dati. Anche il recupero diventa più difficile: persino una cifratura parziale può corrompere file critici su cui il tuo business fa affidamento.
Come puoi proteggerti da questa nuova minaccia?
- Abilita il behavioral detection: per individuare attività sospette sui “file di test”. Molti strumenti di endpoint di nuova generazione monitorano già improvvise operazioni di cifratura su file casuali.
- Limita i privilegi di amministratore locale: Kraken ha bisogno di permessi elevati per eseguire correttamente il benchmark.
- Aggiorna e applica patch a tutto: mantenendo aggiornati anche i blocchi specifici contro i ransomware.
- Implementa la network segmentation: così un dispositivo compromesso non manda in tilt l’intera azienda.
- Mantieni backup offline e immutabili: che il ransomware non possa raggiungere né cifrare.
Non Lasciare Che La Tua Azienda Superi il Test
Il ransomware sta diventando sempre più veloce e intelligente. L’epoca dei ransomware “rumorosi”, che si annunciavano con effetti speciali, sta finendo. I moderni stealthy ransomware benchmark attacks come Kraken sono pazienti, sofisticati ed estremamente efficienti.
La tua rete viene misurata nel momento stesso in cui viene infettata. L’unica vera strategia vincente è fare in modo che non abbia mai l’occasione di farlo.
