Cisco Italia Blog

Altro Ransomware altra soluzione fornita da Talos. ThanatosDecryptor per i problemi di decrittografia

2 min read



Talos, il centro di ricerca per l’intelligence e la cyber security di Cisco, ha pubblicato una nuova ricerca su una variante  di ransomware conosciuta come Thanatos. Il target sono gli utenti finali perché il malware arriva alla vittima tramite la chat di Discord come allegato a un messaggio.

La pericolosa particolarità di questo ransomware è che a causa dei problemi presenti nel processo di crittografia utilizzato, i criminali non sono in grado di rilasciare i dati sottratti alla vittima.

Grazie a questa ricerca pubblicata il 26 giugno nel blog di Talos i nostri ricercatori sono stati in grado di:

  • Individuare le debolezze nel metodo di crittografia dei file di Thanatos.
  • Fornire uno strumento di decrittografia che sfrutta queste debolezze e rende nuovamente disponibili i dati sottratti alle vittime. Una ragione in più quindi per non pagare il riscatto richiesto da Thanatos. Lo strumento in questione si chiama ThanatosDecryptor ed è scaricabile gratuitamente dal sito di Talos (www.talosintelligence.com).
  • Creare una firma YARA che può essere usata per identificare altri campioni associati alla famiglia ransomware Thanatos.

Questo malware è in continua evoluzione: ne esistono infatti diverse versioni e proprio per questo consigliamo a chi è stato attaccato o a chi sospetta di esserlo di:

– Leggere attentamente la ricerca di Talos per ottenere maggiori dettagli.
– Seguire le istruzioni presenti nella ricerca su come funziona ThanatosDecryptor e come scaricarlo.
– Agire in tempo nel caso vi sia il sospetto di essere stati colpiti così da per poter riparare immediatamente un possibile danno. Per fare questo ricordiamo che il servizio Cisco Incident Response è disponibile 24 ore su 24 al numero 1-844-831-7715.
– Non pagare il riscatto. Non servirebbe a molto visto che a causa dei problemi nel processo di encryption utlizzato da Thanatos gli autori del malware non sono in grado rilasciare i dati.

È difficile stabilire quanto questa difficoltà sia intenzionale o meno perché per come sono state strutturate alcune campagne di attacco risulta evidente che chi ha distribuito il malware non aveva alcuna intenzione di rilasciare i dati. Il totale infatti dei pagamenti effettuati rilevati dalla ricerca di Talos arriva a 720$, una cifra molto diversa se comparata ad altre campagne di criminalità informatica mosse da motivazioni finanziarie.

Come può aiutarvi Cisco

Tutti i clienti Cisco dotati di una soluzione di sicurezza come ad esempio Ransomware Defence non devono preoccuparsi perché i risultati di questa ricerca sono stati trasmessi in maniera automatica alle soluzioni in loro possesso prima ancora di venir pubblicati. Questo ransomware dimostra quanto sia difficile prevedere i vettori d’attacco e che ognuno di noi può essere un bersaglio, anche quando stiamo usando i nostri sistemi per uso personale. Per questo consigliamo sempre di prestare molta attenzione agli allegati o alle email che si ricevono anche sui propri dispositivi personali. La soluzione Ransomware Defence è stata progettata proprio per fornire una protezione a più livelli: sull’email, nel web, sugli endpoint, nel cloud. E al contempo permette di rilevare, isolare e rimediare qualsiasi malware avanzato utilizzando sia la tecnologia che la compone che la intelligence di Talos.

Authors

Fabio Panada

Senior Security Consultant

Lascia un commento