Dridex malware usato per diffondere il ransomware Entropy: scoperte somiglianze nei codici dopo due attacchi
Due attacchi cyber sferrati nei confronti di una compagnia di media e un ente governativo fanno emergere delle somiglianze tra i codici di Dridex, un trojan bancario ad uso generico, e Entropy, un ransomware recente ancora poco noto.
Similitudini e differenze tra i due attacchi
La ricerca, effettuata da Sophos, ha rilevato che in entrambi gli attacchi è stato utilizzato Cobalt Strike e che i dati sono stati esfiltrati utilizzando tool di compressione legali come Winrar prima di lanciare poi il ransomware. Viene inoltre sottolineato l’utilizzo di una versione customizzata di Entropy con il nome del target inserito nel codice del ransomware.
L’accesso ai sistemi invece è avvenuto con modalità e vettori diversi.
Nel caso dell’agenzia di media, gli hacker si sono serviti di un ProxyShell che ha colpito un Exchange Server vulnerabile con l’obiettivo di installare una web shell che, a sua volta, è stata utilizzata per diffondere Cobalt Strike Beacons sulla rete. I cyber criminali hanno raccolto dati per un periodo di 4 mesi prima di lanciare, nel dicembre 2021, l’attacco ransomware.
Nel caso invece dell’ente del governo regionale, l’attacco è partito da un allegato e-mail contenente il malware Dridex, e dal primo rilevamento iniziale di un tentativo di login sospetto all’esfiltrazione dei dati del target sono passate solamente 75 ore.
La mano di Evil Corp?
Il trojan Dridex è ritenuto essere opera di un gruppo di cyber criminali russo noto come Indrik Spider o Evil Corp, attivo dal 2007.
La gang per evitare sanzioni apporta ciclicamente numerosi cambiamenti all’infrastruttura ransomware, e sembra che Entropy ne sia l’ultima evoluzione.
Naturalmente non è inusuale che i cyber criminali rubino codici altrui, sia per facilitarsi il lavoro che per fuorviare intenzionalmente chi è sulle loro tracce come affermato da Andrew Brandt di Sophos. In questo modo risulta dunque più difficile attribuire con certezza la paternità del ransomware.
Vulnerabilità dei sistemi Windows
Dalla ricerca emerge chiaramente che in ogni caso per ottenere accesso ai sistemi gli hacker hanno sfruttato dei sistemi Windows non aggiornati e vulnerabili. E’ bene aggiornare regolarmente le patch e tenere sotto controllo ogni allarme sospetto da parte di team di security se si vuole rendere più ardua l’impresa agli hacker.