FBI (Federal Bureau of Investigation), NSA (National Security Agency) e CISA (Cybersecurity and Infrastructure Security Agency) hanno pubblicato un documento per fornire informazioni dettagliate sul ransomware BlackMatter. L’omonimo gruppo di cybercriminali, nato dalle ceneri di DarkSide (responsabile dell’attacco a Colonial Pipeline), ha già colpito diverse aziende statunitensi che operano nei settori dell’alimentazione e dell’agricoltura.
BlackMatter: Ransomware-as-a-Service
BlackMatter è apparso per la prima volta a fine luglio. Il tool viene offerto agli autori degli attacchi sotto forma di abbonamento, da cui il termine RaaS (Ransomware-as-a-Service). Sfruttando credenziali di amministratori o singoli utenti, i cybercriminali riescono ad accedere alla rete aziendale, cifrano i dati presenti sul computer e i drive condivisi, e chiedono un riscatto in Bitcoin o Monero con importi fino a 15 milioni di dollari.
BlackMatter utilizza un tool specifico per i computer Linux e cifra anche le macchine virtuali ESXi. Il ransomware può individuare eventuali backup accessibili tramite rete e cancella tutti i dati. Le tre agenzie governative hanno pubblicato le regole da utilizzare per rilevare eventuali intrusioni utilizzando il software open source Snort.
Il documento fornisce diversi consigli da seguire per ridurre al minimo i rischi. Oltre alle soluzioni di “intrusion detection” devono essere utilizzate password robuste e uniche. Inoltre è meglio attivare l’autenticazione a due fattori per tutti i servizi, applicare gli ultimi aggiornamenti a sistema operativo e software, utilizzare un firewall, limitare l’accesso alle risorse condivise in rete e implementare la segmentazione della rete. Altri suggerimenti sono rivolti in particolare alle aziende che gestiscono infrastrutture critiche.