FIND Ransomware

Proteggere i propri dispositivi dai malware è diventata una necessità piuttosto che una scelta. I criminali informatici continuano a evolvere le loro tattiche, creando ceppi di ransomware sempre più complessi, progettati per sfruttare anche piccole vulnerabilità di sicurezza. FIND Ransomware, una variante recentemente scoperta della famigerata famiglia Dharma, esemplifica la sofisticatezza e la persistenza delle moderne operazioni ransomware.

All’interno dell’attacco ransomware FIND

Il ransomware FIND opera con la stessa spietata efficienza che ha reso Dharma una delle famiglie di ransomware più attive. Una volta eseguito, il malware inizia a crittografare i file della vittima, rendendoli inaccessibili. Nel processo, rinomina ogni file aggiungendo l'ID univoco della vittima, un indirizzo email controllato dall'aggressore e l'estensione '.FIND', ad esempio, rinominando '1.png' in '1.png.id-9ECFA84E.[findourtxt@tuta.io]
].FIND.' Un'altra variante osservata di questa minaccia utilizza invece l'estensione '. FIND5'.

Dopo la crittografia, il ransomware inoltra le sue richieste attraverso due canali: un messaggio pop-up e un file di richiesta di riscatto denominato "info.txt". Il messaggio informa le vittime che i loro file sono stati crittografati e le invita a contattare gli aggressori tramite uno dei due indirizzi email disponibili, "findourtxt@tuta.io" o "findourtxt@mailum.com", utilizzando l'ID assegnato.

La richiesta di riscatto afferma inoltre che alcuni dati della vittima sono stati sottratti e avverte che la mancata osservanza di questa regola comporterà la vendita o la condivisione delle informazioni rubate con terze parti. Sconsiglia inoltre alle vittime di rinominare i file o tentare di decrittografare i dati utilizzando strumenti di terze parti, sostenendo che tali azioni potrebbero comportare la perdita permanente dei dati o richieste di riscatto più elevate.

Come funziona il ransomware FIND

Come altre varianti di Dharma, il ransomware FIND segue un processo di infezione in più fasi progettato per massimizzare l'impatto e la persistenza. Una volta attivo su un sistema, il malware crittografa i file sia su unità locali che di rete, prendendo di mira un'ampia gamma di tipi di dati e persino eliminando le copie shadow del volume per impedirne un facile ripristino.

Manomette inoltre le impostazioni di sistema disattivando il firewall di Windows, stabilendo la persistenza inserendo copie di se stesso nella directory %LOCALAPPDATA% e aggiungendo voci nelle chiavi del registro di sistema Run. Inoltre, alcune varianti basate su Dharma raccolgono dati sulla posizione e possono escludere specifiche cartelle o unità di sistema dalla crittografia, probabilmente per motivi operativi o strategici.

Vettori di infezione e canali di distribuzione

Il ransomware FIND, come i suoi predecessori, si diffonde attraverso una combinazione di metodi ingannevoli e opportunistici. I criminali informatici utilizzano campagne di phishing, allegati dannosi e link fraudolenti incorporati nelle email per indurre gli utenti a iniziare l'infezione. Altri metodi di distribuzione comuni includono:

1. Download drive-by da siti web compromessi o dannosi.
2. Installazione tramite software pirata, aggiornamenti falsi o applicazioni craccate.
3. Sfruttamento di vulnerabilità software non corrette e di configurazioni deboli del protocollo RDP (Remote Desktop Protocol).
4. Pubblicità dannose, reti P2P e unità rimovibili (USB) infette.

Una volta installato, FIND crittografa i dati critici e richiede un pagamento, spesso in criptovaluta, per fornire una chiave di decrittazione, anche se non vi è alcuna garanzia che il pagamento porti al recupero riuscito.

Le migliori pratiche di sicurezza per rimanere protetti

La difesa da ransomware come FIND richiede un approccio proattivo e a più livelli. Utenti e organizzazioni possono ridurre significativamente il rischio di infezione implementando le seguenti pratiche essenziali:

1. Rafforzare la sicurezza dei dispositivi e della rete :

• Aggiornare regolarmente i sistemi operativi, i browser e i software per correggere le vulnerabilità note.
• Configurare firewall e strumenti antivirus per rilevare e bloccare attività sospette.
• Disattivare l'accesso RDP se non necessario oppure limitarlo tramite password complesse, autenticazione a più fattori e whitelisting degli IP.

2. Adotta abitudini sicure di navigazione e di utilizzo della posta elettronica :

• Evita di aprire allegati indesiderati o di cliccare su link provenienti da mittenti sconosciuti.
• Scarica il software solo da fonti affidabili ed evita torrent o programmi craccati.
• Prestare attenzione quando si risponde a messaggi inaspettati di tipo "urgente" o "avviso di sicurezza".

3. Mantenere backup affidabili :

• Conserva backup offline o basati sul cloud dei dati essenziali.

• Assicurarsi che i dispositivi di backup vengano scollegati dopo l'uso per impedire la crittografia durante un attacco.

4. Istruire e preparare :

• Formare tutti gli utenti a riconoscere i tentativi di phishing e i comportamenti dannosi.
• Sviluppare un piano di risposta agli incidenti che delinei chiaramente i passaggi per isolare i sistemi infetti e ripristinare le operazioni.

Considerazioni finali

Il ransomware FIND rappresenta l'ennesima evoluzione della persistente e distruttiva famiglia Dharma. Crittografando dati preziosi, manomettendo le impostazioni di sicurezza e sfruttando la pressione psicologica attraverso richieste di riscatto, questo malware rappresenta una seria minaccia sia per gli individui che per le organizzazioni.

Mantenere una solida igiene della sicurezza informatica, restare vigili contro le attività sospette online ed effettuare backup regolari dei dati rimangono le difese più efficaci contro queste minacce ransomware.