Una minaccia sorta dalle ceneri del più pericoloso collettivo cybercriminale al mondo, è apparsa sulla scena informatica.
Gli attacchi ransomware sono divenuti una triste realtà con cui aziende ed esperti di cybersecurity combattono giornalmente.
A seguito della pandemia di Covid-19, si è assistito ad un’impennata repentina della loro proliferazione e di attacchi condotti con questi. Collettivi cybercriminali sono rinati dalle loro ceneri e hanno preso di mira principalmente il settore sanitario e l’industria farmaceutica, a causa della loro posizione predominante nel periodo di pandemico che si è attraversato.
Un attore in particolare è spiccato tra gli altri, disseminando il terrore in quanti hanno avuto la sfortuna di incrociarne il cammino. Costui non è un volto nuovo, ma il figlio indiretto di una minaccia già esistente e ampiamente collaudata. Stiamo parlando di Quantum Locker, il ransomware che punta tutto sulla velocità e le azioni repentine di chi lo controlla da remoto.
Ma come sempre, andiamo con ordine e affrontiamo per gradi l’argomento.
Cos’è Quantum Locker?
QuantumLocker è una sotto-variante del ransomware MountLocker, categoria in cui rientrano anche i suoi indiretti derivati AstroLocker e XingLocker. Osservato per la prima volta nel luglio 2021, questo ransomware è stato all’inizio classificato come un semplice malware. Tuttavia, la rapidità della sua infezione e l’aggressività dei suoi attacchi, hanno spinto per un cambio repentino della sua classificazione.
La parola d’ordine è proprio rapidità. Quantum Locker è infatti utilizzato per condurre attacchi rapidissimi contro i propri bersagli. In generale, le vittime passano dalla semplice infezione alla criptazione completa dei loro dati, in appena 4 ore. Un altro elemento che gioca a favore dei cybercriminali, è l’optare per un attacco di sorpresa, condotto spesso e volentieri fuori dall’orario lavorativo.
A peggiorare la situazione ci si mette il gruppo responsabile della sua creazione. Infatti, il collettivo Quantum annovera tra i suoi membri alcuni illustri esponenti del Team Conti, il famigerato gruppo cybercriminale russo responsabile dell’altrettanto famigerato ransomware Conti. Costoro hanno anche creato una piattaforma operativa TOR-based disegnata specificatamente per le negoziazioni con le vittime, assieme al “Quantum Blog“, una piattaforma su cui rendere pubblici i dati esfiltrati.
L’obiettivo primario del collettivo Quantum è sempre stato il settore sanitario. Infatti, i suoi esponenti sono stati capaci di infiltrarsi nella rete privata di ben 657 operatori sanitari, impossessandosi dei dati sensibili di quasi due milioni di persone.
Come funziona Quantum Locker?
Il ransomware viene generalmente distribuito attraverso campagne di phishing, che nel primo stadio effettuano il deploy di un malware nel sistema. Questo arriva sottoforma di immagine di sistema (iso), al cui interno sono presenti il payload (dar.dll) e un collegamento (.LNK) mascherato da documento.
Generalmente il payload impiegato è IceID, mentre alcuni casi hanno fatto uso del loader Bumblebee. Una volta eseguito, questo si connette al server C2 dei cybercriminali e installa il ransomware Quantum e altri strumenti utili agli attori malevoli all’interno del sistema compromesso. Completata questa prima azione, gli attaccanti conducono un’analisi della rete ad un ritmo serrato, alla ricerca di accessi remoti ad alti host di rete (RDP). Gli attori malevoli copiano quindi manualmente il binary di criptazione di Quantum (ttsel.exe) in ciascuna delle cartelle di rete condivise. Ciò avviene solo se l’accesso a sistemi adiacenti è ottenuto.
Generalmente le prime fasi di un attacco Quantum Locker sono condotte mediante una serie di strumenti ampiamente utilizzati in cybersecurity.
Tra questi si citano:
- Cobalt Strike con modulo Beacon;
- Rclone;
- Ligolo tunneling tool;
- ProcDump;
- ADFind;
- NPPSpy;
A questi si aggiungono gli strumenti intrinsechi al sistema operativo Windows, impiegati principalmente per movimenti laterali nella rete aziendale e l’esecuzione manuale dei vari script. Quelli più impiegati sono:
- Strumentazione gestione di Windows (WMI);
- PsExec;
- Local Security Authority Subsystem Service (Lsass.exe);
- Windows PowerShell;
Da ciò si evince che gli attacchi condotti mediante Quantum Locker sono prettamente exploit manuali. Il collettivo, infatti, usa poco e niente script, o toolkit automatizzati. Questo conduce ad una delle tecniche più sofisticate ed efficaci del ransomware. Conosciuta come process hollowing, prevede l’avvio di un processo cmd.exe e vi inietta nella memoria Cobalt Strike, eludendo di fatto il rilevamento da parte del software antivirus. Per rendersi completamente invisibile, Quantum prende di mira proprio i processi associati alle misure di sicurezza e alle analisi antimalware, come ad esempio: ProcMon, Wireshark, CND e perfino il task manager. Questi si vedono di fatto arrestati i processi in maniera diretta.
Completata la fase anti-rilevamento, Quantum procede alla criptazione dei dati presenti sul sistema infettato. Per far ciò, il ransomware va alla ricerca di processi in esecuzione inerenti i servizi di database e li arresta. In tal modo vengono rimosse le restrizioni di accesso ai contenuti stessi del database, permettendo così a Quantum di poterli criptare in tutta tranquillità. Il suo processo primario di criptazione fa uso di uno schema di crittografia ibrida, poiché impiega ChaCha20 per la criptazione simmetrica dei files e la chiave pubblica RSA-2048 per criptare la singola chiave di criptazione simmetrica ChaCha20.
A criptazione ultimata, il ransomware aggiunge la propria estensione .quantum al file risultante e rilascia la nota ransom. Nominata README_TO_DECRYPT, si tratta di un file html contenente un ID univoco associato al sistema della vittima e le istruzioni per mettersi in contatto con il collettivo. La vittima viene informata che ha 72 ore di tempo per soddisfare la richiesta di riscatto, oltre le quali i suoi dati sensibili saranno resi pubblici sulla piattaforma Quantum Blog. Generalmente le cifre estorte alle vittime oscillano tra i 150.000 e gli 8 milioni di dollari.
Best practice contro Quantum Locker e i suoi derivati
Sfortunatamente non esiste una procedura univoca per prevedere un attacco da parte di un ransomware come Quantum, o un suo derivato. Tuttavia, restano sempre dei consigli su come poter evitare una sua possibile infezione e mitigare i danni.
- Aggiornare sempre e costantemente i software di sistema e i protocolli di sicurezza.
Ci si deve assicurare che la propria organizzazione e i clienti ad essa associati adottino robuste politiche di sicurezza. Tutti i sistemi, l’hardware e i software in uso devono essere costantemente aggiornati con puntualità. Ciò riduce di molto le possibilità di un’infezione da ransomware. - Adottare una soluzione di filtraggio e-mail efficace.
Poiché questo tipo di ransomware sfrutta come entry point la posta elettronica, è obbligatorio adottare un filtro in grado di rilevare e-mail di spoofing, phishing e contenenti file malevoli sin dal principio. - Implementare un piano di monitoraggio degli endpoint affidabile.
Senza alcun endpoint sicuro e monitorato, i cybercriminali possono identificare immediatamente le vulnerabilità presenti nella rete della compagnia. Una rete con endpoint rafforzati e monitoraggio costante scoraggia i collettivi a tentare un attacco e permette all’organizzazione di individuare potenziali falle in maniera proattiva. - Istruire i propri clienti alle migliori pratiche e limitare i loro privilegi utente.
L’infiltrazione mirata ad un attacco non avviene tramite l’azienda stessa, ma tramite i clienti ad essa associati, che rappresentano i soggetti più esposti a tali pratiche. Per cui è necessario doverli istruire con pratiche di sicurezza base e spingerli all’uso dell’autenticazione in due fattori sui loro dispositivi. Questo non solo permette alla propria organizzazione di rafforzare la propria cybersecurity, ma aiuta anche i clienti a proteggersi. - Effettuare un backup del database e dei propri servizi online.
Le operazioni di backup sono sempre una delle migliori soluzioni per mitigare i danni e non perdere le informazioni sensibili dei propri clienti. Tuttavia, l’immagine di ripristino risultante deve essere conservata su un server lontano dalla rete principale, in quanto una sua eventuale compromissione vanificherebbe tutti gli sforzi condotti.
In un mondo che vira sempre più verso la digitalizzazione di massa, la minaccia rappresentata da un ransomware come Quantum Locker è una realtà con cui bisogna convivere. L’imperativo è sempre lo stesso: non abbassare mai la guardia. Se mai dovessimo farlo, cadremmo dritti nella rete dei cybercriminali, che vivono nell’attesa della caccia e dell’impossessarsi dei nostri dati sensibili.
Ecco perché bisogna costantemente rimanere aggiornati sulle ultime scoperte e contromisure che emergono dal mondo cybersecurity. Affidarsi agli esperti non è solo una scelta saggia, ma una necessità per proteggere i nostri dati e le aziende a cui apparteniamo. La sicurezza informatica è una responsabilità condivisa e solo restando uniti è possibile fare la differenza.
- Autore articolo
- Gli ultimi articoli
Classe 1993, ingegnere gestionale e Adobe Certified Professional in Graphic Design & Visual Design. Ho mosso i primi passi nel campo informatico grazie alla passione per i videogiochi, che mi ha portato ad approfondire i motori grafici e la progettazione visiva. Scrivo da quando ero bambino e, con il tempo, la scrittura è diventata parte integrante del mio lavoro nel mondo della comunicazione e della sicurezza informatica.