Il ransomware TargetCompany sta emergendo come una minaccia significativa, in particolare per la sua capacità di utilizzare packer FUD per offuscare il suo codice, eludendo così molte soluzioni di sicurezza tradizionali.
Collegamenti con Remcos RAT
Dall’indirizzo IP o dall’URL, sono stati trovati campioni da un repository pubblico verificato come Remcos RAT. Considerando l’uso dell’offuscamento nei vari file batch, nonché il fatto che per ogni esecuzione di Remcos c’è anche un’istanza di un attacco da parte del ransomware TargetCompany, non è stata una sorpresa scoprire l’uso di questa tecnica. Analogamente, è stato trovato un campione verificato di Remcos con zero rilevamenti nei repository pubblici.
Approfondimenti
L’uso di malware FUD limita già la maggior parte delle soluzioni disponibili per questa tattica, ancor di più per le tecnologie pronte all’uso probabilmente suscettibili ad altri attacchi (non solo ransomware). Questo set di packer probabilmente non sarà l’unico sviluppato nel prossimo futuro. La rilevazione precoce permette ai team di sicurezza e agli analisti di rilevare questi packer FUD poiché le loro routine e codifiche seguono un certo flusso che facilita la prevenzione. Questo permette anche ai team delle organizzazioni di controllare l’aumento dell’uso anche attraverso fonti esterne di intelligence sulle minacce e repository.
Gli aggressori continueranno a innovare anche i mezzi più semplici di abuso. Mentre la tecnica di utilizzo di packer FUD e Metasploit esiste da tempo, i team di sicurezza e le organizzazioni non dovrebbero sottovalutare la sua efficacia nel bypassare le soluzioni di sicurezza attuali ed consolidate, specialmente in funzionalità chiave che lasciano le tecnologie quasi cieche fino a quando una vittima viene documentata.
Ad oggi, la maggior parte delle vittime del ransomware TargetCompany deriva da server SQL vulnerabili sfruttati per ottenere l’accesso. I team di sicurezza dovrebbero avere visibilità e controllare tutte le possibili superfici di attacco per garantire che i loro rispettivi sistemi non siano suscettibili di abuso e sfruttamento. Nel frattempo, il packer FUD è considerato uno strumento che può essere facilmente modificato senza molto sforzo, e le soluzioni attuali potrebbero essere un passo indietro rispetto a questi sviluppi. Fortunatamente, soluzioni basate su intelligenza artificiale e apprendimento automatico, migliori pratiche per il blocco della rete e misure di rilevamento e blocco del ransomware possono agire come più strati per mitigare l’impatto dei rischi di queste minacce.