Ransomware rubato (MedusaLocker).

Con la rapida evoluzione delle minacce digitali, il ransomware rimane una delle forme di criminalità informatica più distruttive e costose. Questi attacchi possono impedire alle vittime di accedere ai propri file, interrompere le operazioni aziendali e causare danni finanziari e reputazionali significativi. Mantenere una solida igiene della sicurezza informatica è quindi essenziale per ridurre al minimo l'esposizione a infezioni da malware come Stolen (MedusaLocker) Ransomware.

Panoramica del ransomware rubato

I ricercatori di sicurezza informatica hanno identificato Stolen, una pericolosa variante di ransomware appartenente alla famiglia MedusaLocker. Una volta ottenuto l'accesso a un dispositivo, il malware crittografa immediatamente i dati preziosi e modifica i nomi dei file aggiungendo un'estensione univoca '.stolen[numero]'; ad esempio, '1.png' diventa '1.png.stolen30'. Dopo aver crittografato i file, il malware rilascia una richiesta di riscatto intitolata 'READ_NOTE.html' nelle directory interessate.
La nota informa le vittime che i loro file sono stati bloccati utilizzando una combinazione di algoritmi di crittografia RSA e AES, un metodo progettato per rendere il recupero quasi impossibile senza la chiave di decrittazione in possesso degli aggressori.

La richiesta di riscatto e le richieste degli aggressori

Il messaggio di riscatto spiega che tutti i file sono stati crittografati e mette in guardia le vittime dal tentare di ripristinarli o modificarli utilizzando strumenti di terze parti, sostenendo che tali tentativi comporteranno la perdita permanente dei dati. Afferma inoltre che gli aggressori hanno sottratto informazioni riservate e personali, archiviandole su un server privato che verrà presumibilmente distrutto dopo il pagamento.

Per fare pressione sulle vittime, i criminali minacciano di pubblicare o vendere i dati rubati se il riscatto non verrà pagato tempestivamente. Invitano le vittime a contattare gli indirizzi email forniti – stevensfalls@outlook.com o richardfeuell@outlook.com – e avvertono che l'importo del riscatto aumenterà dopo 72 ore.

Nonostante queste minacce, il pagamento del riscatto è fortemente sconsigliato. Non vi è alcuna garanzia che le vittime possano riacquistare l'accesso ai propri dati e farlo non fa che incoraggiare ulteriori attività criminali. Chi dispone di backup offline sicuri potrebbe essere in grado di ripristinare i propri file senza interagire con gli aggressori.

Vettori di infezione e tattiche di distribuzione

Il ransomware rubato utilizza molteplici canali di distribuzione, il che lo rende estremamente versatile e pericoloso. Gli autori delle minacce spesso si affidano a:

• E-mail di phishing contenenti allegati o link infetti che, una volta aperti, attivano l'installazione del malware.
• Kit di exploit che sfruttano le vulnerabilità del software non corrette.
• Annunci pubblicitari dannosi (malvertising) e download drive-by che installano automaticamente ransomware quando si visitano siti web compromessi o non sicuri.

• Piattaforme di condivisione file inaffidabili, reti P2P o software pirata, che spesso contengono payload nascosti.

In alcuni casi, per diffondere il ransomware agli utenti ignari vengono utilizzati anche dispositivi USB infetti, script dannosi o archivi compressi.

Pratiche di sicurezza consigliate per prevenire le infezioni da ransomware

La difesa da ransomware avanzati come Stolen richiede un approccio di sicurezza proattivo e a più livelli. Gli utenti dovrebbero applicare le seguenti best practice per proteggere i propri sistemi e dati:

1. Rafforzare la sicurezza del sistema e della rete

• Mantenere regolarmente aggiornati i sistemi operativi, i software e gli strumenti di sicurezza per correggere le vulnerabilità note.
• Utilizzare soluzioni anti-malware e firewall affidabili, in grado di rilevare comportamenti simili a quelli dei ransomware.
• Disattivare l'esecuzione di macro ed script negli allegati e-mail e nei documenti provenienti da mittenti sconosciuti.
• Utilizzare l'autenticazione a più fattori (MFA) e applicare criteri di password complesse per impedire accessi non autorizzati.

2. Adotta un comportamento sicuro e consapevole online

• Evita di aprire e-mail sospette o di scaricare file da fonti sconosciute.
• Evitate di utilizzare software craccati o downloader non ufficiali, poiché sono comuni vettori di malware.
• Esegui regolarmente il backup dei file importanti su un archivio offline o basato sul cloud, disconnesso dal sistema principale.
• Informare gli utenti all'interno delle organizzazioni sulle tattiche di ingegneria sociale e phishing per ridurre il rischio di esecuzione accidentale di file dannosi.

Considerazioni finali

Il ransomware Stolen (MedusaLocker) esemplifica come le moderne campagne ransomware combinino crittografia avanzata, manipolazione psicologica e furto di dati per massimizzare l'impatto. Le vittime dovrebbero concentrarsi sul contenimento e sul recupero piuttosto che sull'adempimento delle richieste di riscatto. Efficaci misure di sicurezza informatica, tra cui aggiornamenti di routine, navigazione prudente e backup sicuri, rimangono la difesa più efficace contro gli attacchi ransomware.