Che cos’è il ransomware 0xxx? Rilevamento, protezione e ripristino
& 0xxx è un tipo di ransomware apparso per la prima volta all’inizio del 2021 e che da allora ha causato danni ingenti alle organizzazioni di tutto il mondo. Fondamentalmente, 0xxx è un’infezione ransomware che crittografa i file sul PC di un utente aggiungendo .0XXX alle estensioni di file comuni come .txt, .docx, .xlsx. Una volta infettati, i file rinominati non sono più accessibili agli utenti. Per riottenere l’accesso ai dati bloccati, alla vittima viene chiesto di pagare un riscatto in bitcoin. Quindi i criminali informatici dietro l’infezione 0xxx affermano che in cambio forniranno uno strumento di decrittografia.
Dopo una breve introduzione sul ransomware e sui suoi due tipi principali, questo post del blog tratta il ransomware 0xxx, i metodi di protezione dei dati e come ripristinare i dati se il sistema è stato infettato.
Che cos’è il ransomware?
Il ransomware è un tipo di malware che di solito si installa su un dispositivo all’insaputa o senza il consenso dell’utente. Nella maggior parte dei casi, una volta che un dispositivo è stato infettato, il ransomware effettua la crittografia di alcuni o tutti i file e i criminali informatici richiedono un pagamento in cambio di uno strumento di decrittografia (che potrebbe essere fornito o meno anche dopo il pagamento del riscatto). Il ransomware viene installato più spesso cliccando su link contenuti in e-mail di phishing o aprendo allegati dannosi provenienti da mittenti sconosciuti.
Il ransomware non solo blocca l’accesso ai file, ma può anche diffondersi da un dispositivo all’altro all’interno di una rete copiandosi nei dispositivi di storage di rete o negli account di storage sul cloud. Questo basta a classificare il ransomware come una delle forme più pericolose di malware e minacce informatiche in generale.
L’idea alla base del ransomware è quella di rendere il più difficile possibile alle vittime il recupero dei propri dati. Alcune varianti di ransomware sacrificano l’integrità dei dati dopo la crittografia o addirittura consentono agli hacker di apportare modifiche o eliminare file. Ciò rende eccezionalmente più difficile per le vittime ripristinare i dati e può comportare la perdita permanente dei dati senza backup da utilizzare per il ripristino a un punto nel tempo.
Tipi di ransomware
Il ransomware può essere classificato in due tipi principali: non crittografico e crittografico.
Il ransomware non crittografico non crittografa i file. Al contrario, tiene in ostaggio il sistema. Questo tipo di ransomware visualizza un messaggio all’avvio del sistema operativo o all’apertura di un browser, in cui si afferma che il dispositivo in uso è stato sequestrato dal governo (o da un’agenzia governativa) a causa di attività illegali. Viene richiesto un riscatto in cambio dell’archiviazione delle presunte accuse a carico dell’utente e dello sblocco del dispositivo. In genere, il ransomware non crittografico non compromette l’integrità dei dati e può essere rimosso dal dispositivo.
D’altra parte, il ransomware di crittografia si infiltra nel dispositivo, in genere tramite un allegato e-mail dannoso o un link di phishing, e blocca l’accesso ai file e ai programmi su quel dispositivo fino al pagamento del riscatto specificato. Tuttavia, anche dopo aver pagato il riscatto, non è garantito che si riceva uno strumento di decrittografia per riottenere l’accesso ai file. In alcuni casi, gli aggressori possono anche minacciare di rendere pubblici alcuni dati sensibili.
Il ransomware crittografico è il tipo più dannoso di ransomware e probabilmente una delle minacce informatiche più pericolose apparse negli ultimi anni. Le aziende che pagano ingenti somme di denaro per riottenere i propri dati incoraggiano i criminali informatici ad espandere le loro attività e a prendere di mira un numero maggiore di vittime.
Che cos’è 0xxx?
0xxx è un tipo di ransomware crittografico che utilizza gli algoritmi AES e RSA per crittografare i file. AES e RSA sono potenti standard di sicurezza di crittografia utilizzati da governi e organizzazioni che trattano dati sensibili. Nel corso degli anni, gli standard AES e RSA sono diventati gradualmente un punto fermo nel mondo del ransomware, poiché entrambi gli algoritmi sono considerati la forza trainante principale di alcuni dei ceppi più noti, come Cryptolocker e Teslacrypt.
Proprio come altri ransomware della stessa categoria, come Redeemer, Ouelezin Zebi e Iqll, 0xxx nega l’accesso ai file crittografandoli, rinomina le loro estensioni e crea un file di testo in ogni singola cartella dell’unità infetta contenente un messaggio che richiede un riscatto.
Il file “!0XXX_DECRYPTION_README.TXT” generato include una serie di istruzioni che le vittime devono seguire per effettuare la decrittografia dei propri dati. Ma prima, le vittime vengono informate che tutti i loro file sono stati crittografati con il virus 0xxx e che è possibile acquistare uno strumento di decrittografia in bitcoin.
Alle vittime viene quindi chiesto di inviare via e-mail l’ID univoco (un codice esadecimale maiuscolo di 32 cifre) loro assegnato insieme a tre file crittografati all’indirizzo e-mail fornito. Come prova di concetto, alle vittime vengono rispediti via e-mail i tre file precedentemente inviati, completamente decrittografati e privi di virus. Nella stessa e-mail, le vittime riceveranno l’indirizzo del portafoglio bitcoin su cui deve essere trasferito il riscatto specificato. Infine, i criminali informatici dietro il virus 0xxx si impegnano a inviare lo strumento di decrittografia una volta effettuato il pagamento.
Ecco uno screenshot di un file di testo del ransomware 0xxx che istruisce la vittima su come pagare il riscatto:
Come infetta 0xxx i computer?
Sebbene il ransomware si avvalga di una moltitudine di vettori di infezione per propagarsi, i due metodi più comunemente utilizzati dai criminali informatici al giorno d’oggi per diffondere 0xxx sono le e-mail di phishing e i malware trojan.
Il più diffuso tra tutti i vettori, il phishing è diventato più sofisticato e pericoloso che mai. Un’e-mail di phishing è un’e-mail truffaldina che induce il destinatario a cliccare su un link o a scaricare contenuti dannosi che possono portare a un attacco ransomware. Le e-mail di phishing sono progettate per sembrare inviate da una fonte affidabile, ad esempio una banca o una società di carte di credito. Tali e-mail possono includere file che fungono da vettori di ransomware. Una volta scaricati e installati, i file dannosi possono infettare immediatamente il sistema con il ransomware 0xxx.
Un trojan è un tipo di malware che, in apparenza, sembra un software legittimo, ma è programmato per causare danni ai dati su un sistema o una rete. I trojan vengono spesso scaricati accidentalmente da siti web sospetti che dichiarano di ospitare strumenti di attivazione illegali (noti anche come “crack”) e aggiornamenti falsi per applicazioni come Google Chrome o Microsoft Office. Una volta installato, il malware Trojan può aprire una backdoor a un malintenzionato, che può quindi visualizzare e manipolare i dati sul sistema host. Se l’autore del reato riesce ad ottenere l’accesso completo al sistema, allora l’iniezione di ransomware, come 0xxx, può essere facilmente realizzata.
Come rilevare il ransomware 0xxx?
Ci sono alcuni indicatori che possono aiutarti a rilevare il ransomware 0xxx sul tuo dispositivo:
- Modifiche sospette alle estensioni dei nomi dei file: La prima azione del ransomware 0xxx è quella di aggiungere .0XXX a tutte le estensioni dei file. Questo particolare ransomware mantiene intatti i nomi dei file originali. Ad esempio, document.pdf diventa document.pdf.0XXX. Non si tratta di una semplice rinominazione dell’estensione del nome del file, ma piuttosto di un’indicazione che il file è stato crittografato.
- Elevata attività della CPU: Il ransomware 0xxx consuma molte risorse e, di conseguenza, i programmi possono essere notevolmente più lenti nell’esecuzione e nel caricamento. La crittografia e la rinominazione di migliaia di file è un’operazione che richiede un uso intensivo della CPU e può rallentare il sistema al punto da renderlo non più reattivo.
- Impossibilità di accedere ai file: L’obiettivo principale del ransomware 0xxx è quello di negare l’accesso ai file. Una volta crittografati, i file e i documenti non possono essere aperti e richiedono uno strumento di decrittografia per essere ripristinati al loro stato originale. Lo strumento di decrittografia può essere fornito solo dopo il pagamento del riscatto specificato.
- Comunicazione di rete anomala: Se il sistema è infettato dal ransomware 0xxx, è possibile che si verifichi un rallentamento della connessione Internet. I criminali informatici dietro gli attacchi ransomware possono stabilire un sistema di comunicazione tra i loro server e i computer infetti per manipolare i file. Ciò può causare continui problemi di connessione.
Come proteggere i sistemi dal ransomware?
Le organizzazioni di tutte le dimensioni non devono sottovalutare la minaccia del ransomware. Non importa quanto sia robusto il tuo sistema di sicurezza, il ransomware può comunque trovare il modo di entrare nel tuo computer o in quello di un dipendente. Nessuna organizzazione è completamente immune alla minaccia del ransomware. Pertanto, per proteggere i dati della tua organizzazione da qualsiasi forma di ransomware, devi adottare un approccio a più livelli.
Educa i colleghi
Crea un programma di formazione efficace sul ransomware per educare i colleghi su cosa sia il ransomware e come funzioni. Dovreste anche spiegare come evitare di essere infettati dal malware e come reagire a un attacco ransomware se e quando si verifica.
Inviare regolarmente e-mail ai dipendenti con notizie sul ransomware e sui pericoli associati alle minacce informatiche è una buona pratica, soprattutto se il flusso di lavoro della vostra organizzazione si basa su strumenti di produttività e collaborazione basati sul cloud come Microsoft Office 365.
Condurre regolarmente sessioni di formazione sulla consapevolezza del ransomware può aiutare notevolmente i dipendenti a distinguere tra contenuti fraudolenti e legittimi presenti nelle e-mail, negli allegati e nei siti web. Di conseguenza, la probabilità di azioni errate come l’apertura di link di phishing e il download di software dannoso può diminuire in modo significativo.
Configurare i filtri e-mail
La maggior parte dei principali servizi di posta elettronica include filtri in grado di proteggere voi o i vostri colleghi dalle minacce informatiche, compreso il ransomware. Alcuni servizi offrono misure di sicurezza avanzate come il rilevamento automatico e il rifiuto di e-mail sospette provenienti da origini non attendibili o sconosciute. In precedenza ho trattato come configurare Microsoft Defender per Office 365 con criteri anti-phishing e anti-impersonificazione e ho elencato tutti i passaggi obbligatori per massimizzare la sicurezza delle e-mail.
Eseguire la scansione e il monitoraggio del sistema
L’esecuzione di scansioni complete del sistema pianificate tramite un programma antivirus o anti-malware aggiornato può aiutare a rilevare attività sospette, come la rinominazione di massa delle estensioni dei file o un utilizzo insolito del disco. Un antivirus con le definizioni più recenti può neutralizzare una minaccia ransomware mettendo in quarantena il software malware scaricato, limitando così la diffusione dell’infezione nel sistema e nella rete. Inoltre, assicurati di installare le patch di sicurezza più recenti per il tuo sistema operativo non appena sono disponibili.
Backup dei dati
L’esecuzione regolare di backup seguendo la regola 3-2-1 garantisce che i tuoi dati possano sopravvivere a un attacco ransomware con danni minimi. La regola 3-2-1 è un metodo comunemente usato ed efficace per il backup dei dati. La regola impone di conservare almeno 3 copie dei dati e di archiviarle su 2 tipi diversi di supporti, mantenendo 1 delle copie offsite.
Inoltre, potresti voler adottare nuove tecnologie di backup, come i backup immutabili, per proteggere le tue risorse di dati dal ransomware. Con i backup immutabili, che si basano sul modello WORM (Write Once Read Many), i tuoi dati vengono salvati su un volume di archiviazione che può essere scritto una sola volta. I dati su quel volume possono essere consultati più volte, ma non possono essere sovrascritti, modificati o cancellati per un determinato periodo di tempo.
Come ripristinare i file dopo un attacco ransomware 0xxx?
Se il tuo computer è stato infettato dal ransomware 0xxx, non puoi ripristinare alcun dato a meno che non paghi il riscatto, o almeno questo è ciò che i criminali informatici vogliono farti credere. Sebbene i software antivirus o anti-malware possano rimuovere il malware e limitarne la diffusione, non offrono la possibilità di ripristinare i file già infetti. L’unica soluzione è ripristinare i file da un backup, se ne è stato creato uno prima dell’infezione e archiviato in una ubicazione diversa.
Se stai cercando una soluzione completa per la protezione dei dati, valuta l’implementazione di NAKIVO Backup & Replication. NAKIVO Backup & Replication è in grado di garantire una protezione di alto livello per tutti gli ambienti, inclusi quelli virtuali, fisici, cloud e SaaS. Utilizza la soluzione per proteggere VMware vSphere, Microsoft Hyper-V, Nutanix AHV, Amazon EC2, macchine Windows/Linux e dati Microsoft 365.
NAKIVO Backup & Replication offre ai tuoi dati di backup un ulteriore livello di protezione dal ransomware. La soluzione consente di rendere immutabili i dati di backup per tutto il tempo necessario, sia nell’archivio locale del sistema operativo Linux che nei bucket Amazon S3. In questo modo, le copie di backup non possono essere modificate, sovrascritte o eliminate fino alla scadenza del periodo. Con i backup bloccati, i dati di backup sono protetti dalla crittografia del ransomware e possono essere recuperati rapidamente se un attacco dannoso come 0XXX colpisce i sistemi.
