Che cos’è il Quantum Ransomware?
Indice:
Quantum ransomware, una variante che ha attirato notevole attenzione dalla sua scoperta nel luglio 2021, si è dimostrata una forma particolarmente dannosa e in rapida evoluzione di ransomware. Mentre i professionisti della cybersecurity si sforzano di rimanere un passo avanti ai criminali informatici, comprendere le complessità e il potenziale impatto del Quantum ransomware diventa imperativo. È una sotto-variante di MountLocker ransomware, insieme ad AstroLocker e XingLocker. Nonostante sia meno attivo rispetto alle varianti sorelle, richiede pagamenti di riscatti che vanno dai 150.000 dollari a cifre multimilionarie, in linea con la variante madre.
Una delle caratteristiche più sorprendenti del Quantum ransomware è che viene utilizzato in attacchi eccezionalmente rapidi. Le vittime hanno tipicamente solo poche ore tra l’infezione iniziale e la crittografia dei loro file. Sfruttando l’elemento sorpresa, gli attaccanti colpiscono frequentemente durante le ore non lavorative. Il gruppo Quantum include membri di Conti, un altro famigerato gruppo criminale informatico che di recente ha volontariamente chiuso le sue operazioni di ransomware per riemergere come parte di altri sottogruppi di ransomware che comprendono motivazioni e strategie operative distinte.
Gli avversari hanno stabilito una piattaforma TOR operativa specificamente progettata per le negoziazioni di riscatto insieme a una piattaforma di perdita di dati denominata “Quantum Blog.”
Un obiettivo principale del Quantum ransomware nell’ultimo anno sono stati gli attori nell’industria sanitaria. Il gruppo è riuscito a infiltrarsi in una rete di 657 fornitori di assistenza sanitaria, risultando nel furto delle informazioni personali di oltre 1,9 milioni di vittime.
Come parte dei loro metodi di infiltrazione iniziale, gli avversari hanno impiegato il malware IcedID (distribuito via email) come mezzo per ottenere l’accesso, utilizzando Cobalt Strike per il controllo remoto. Questo ha portato all’acquisizione illecita di informazioni sensibili e all’implementazione del Quantum Locker per la crittografia dei dati.
Cos’è Quantum Locker?
Nel corso degli ultimi due anni, il ransomware Quantum Locker ha guadagnato notorietà per i suoi attacchi rapidi e decisivi, concedendo ai team del centro operazioni di sicurezza un arco temporale ristretto per attuare misure di risposta efficaci. In alcune istanze, gli avversari sono riusciti a distribuire il ransomware in appena quattro ore dall’attacco.
Una volta cadute vittime dell’infrazione, le aziende e gli individui presi di mira hanno una finestra limitata di 72 ore per stabilire una comunicazione con i perpetratori. Il mancato rispetto di questo termine comporta la divulgazione dei dati rubati su un sito web pubblico menzionato sopra in questo articolo, accessibile per il download gratuito da chiunque.
Per semplificare il processo di crittografia, il ransomware Quantum identifica e blocca i processi di servizio del database, eliminando le loro restrizioni di accesso al contenuto prezioso del database e consentendo al ransomware di crittografarlo. La procedura di crittografia primaria di Quantum impiega un eseguibile .dll o .exe, utilizzando uno schema di crittografia ibrido che impiega ChaCha20 per la crittografia simmetrica dei file e una chiave pubblica RSA-2048 per crittografare la singola chiave di crittografia simmetrica ChaCha20.
Utilizzo di IcedID come accesso iniziale
Il ransomware Quantum è distribuito attraverso mirate campagne di phishing via email, utilizzando malware di prima fase come IcedID o BumbleBee loader. Scritto in C++, BumbleBee opera come un loader, comprendendo una funzione unica responsabile dell’inizializzazione, della gestione delle risposte e della trasmissione delle richieste. Al momento dell’esecuzione su un dispositivo compromesso, il malware raccoglie diligentemente i dati della vittima e li comunica al server di comando e controllo (C2). IcedID (noto anche come BokBot) rappresenta una variante relativamente recente di malware classificata sia come trojan bancario che come trojan di accesso remoto (RAT). Notevole per le sue capacità, IcedID è allo stesso livello di altri trojan bancari avanzati come Zeus, Gozi e Dridex. Come malware di seconda fase, IcedID dipende da malware di prima fase precedente per stabilire l’accesso iniziale e facilitare il suo dispiegamento. Recenti scoperte hanno rivelato nuove varianti di IcedID che si discostano dalla loro tipica funzione di frode bancaria online. Invece, queste varianti privilegiano l’installazione di malware aggiuntivo sui sistemi compromessi. In una significativa deviazione dalla sua modalità operativa tradizionale, IcedID ha subito un’importante evoluzione, mostrando un cambiamento nei suoi obiettivi. Piuttosto che focalizzarsi esclusivamente sulla frode bancaria online, queste nuove iterazioni pongono un’enfasi accentuata sull’instaurare una testata all’interno dei sistemi compromessi per facilitare il dispiegamento di altri payload dannosi.
Questi payload importano il ransomware principale Quantum Locker e strumenti supplementari nei sistemi compromessi.
L’email dannosa include un file immagine .iso, contenente il loader IcedID nel formato di una DLL (dar.dll). Inoltre, l’email include un file di collegamento .LNK ingannevole progettato per apparire come un documento legittimo mentre in realtà prende di mira il payload IcedID.
Successivamente, gli attaccanti intraprendono una rapida ricognizione della rete, puntando particolarmente ad ottenere l’accesso remoto al desktop (RDP) ad altri host della rete. Se viene ottenuto l’accesso a sistemi adiacenti, gli attaccanti trasferiscono manualmente il binario di crittografia Quantum, ttsel.exe, alla cartella condivisa di ciascun host.
Durante le prime fasi di un attacco Quantum, viene utilizzata una gamma di kit di strumenti, inclusi Cobalt Strike Beacon, Rclone, lo strumento di tunneling Ligolo, ProcDump, ADFind, e il servizio sottosistema della Local Security Authority (Lsass.exe) per la ricognizione della rete e il movimento laterale. NPPSpy viene utilizzato per rubare dati sensibili mentre strumenti LOTL (living off the land) come WMI, PsExec e PowerShell vengono sfruttati. È importante notare che gli attacchi Quantum si basano principalmente su exploit manuali condotti da operatori umani piuttosto che su intricati script o kit di strumenti automatizzati. Una delle tecniche più sofisticate di Quantum, nota come “process hollowing”, coinvolge l’avvio di un processo cmd.exe e l’iniezione di CobaltStrike nella memoria del processo per eludere il rilevamento. Per mantenere le operazioni coperte, Quantum rileva e termina attivamente i processi associati all’analisi del malware, come ProcMon, Wireshark, CND e gestione delle attività.
Quantum Ransomware Visto Distribuito in Attacchi di Rete Rapidi
Ciò che distingue il ransomware Quantum Locker è la sua velocità di esecuzione senza pari. Nel giro di poche ore, gli avversari eseguono con successo il ransomware, lasciando ai professionisti della sicurezza poco tempo per rispondere efficacemente. Le conseguenze possono essere disastrose, con dati critici presi in ostaggio e operazioni aziendali fermate. A differenza di molti attacchi di ransomware automatizzati, il ransomware Quantum è prevalentemente gestito da operatori umani esperti. Questo approccio manuale consente agli attaccanti di adattare le loro tecniche ed eludere le misure di sicurezza tradizionali, rendendo ancora più impegnativo per le organizzazioni rilevare e mitigare la minaccia.
Gli avversari hanno abbracciato la velocità come un’arma potente, sfruttando rapidamente le vulnerabilità e infiltrandosi nei sistemi in pochi minuti o addirittura secondi. L’elemento sorpresa, combinato con un’esecuzione fulminea, si è dimostrato altamente efficace per i cybercriminali. Le conseguenze degli attacchi informatici eseguiti rapidamente sono di vasta portata. Le organizzazioni si trovano ad affrontare dati compromessi, operazioni interrotte e danni reputazionali in tempi da record. Inoltre, il ritmo accelerato di questi attacchi mette una tremenda pressione sui team di sicurezza, che devono identificare e contenere rapidamente la violazione per minimizzare l’impatto.
Per aiutare le organizzazioni a tenere il passo con i volumi crescenti e l’aumentata sofisticazione degli attacchi del Quantum ransomware, la piattaforma SOC Prime offre un set di regole Sigma curate per il rilevamento proattivo. Cliccando sul pulsante Esplora rilevamenti , i team possono ottenere l’intero elenco di regole Sigma rilevanti mappate a MITRE ATT&CK® v12 e arricchite con un contesto completo di minaccia informatica. Tutte le regole Sigma sono pronte per essere implementate su decine di soluzioni di sicurezza, aiutando le organizzazioni a evitare il lock-in del fornitore.
Background del Quantum Ransomware
Mentre Quantum Locker potrebbe non mostrare lo stesso livello di attività di altre operazioni di ransomware prominenti come Conti, LockBit, e AVOS, rimane una minaccia significativa che richiede attenzione dai difensori di rete. È fondamentale capire che lo scenario delle minacce è in continua evoluzione e gruppi di ransomware come Quantum possono rapidamente adattare i loro TTP per sfruttare le vulnerabilità ed eludere il rilevamento. Mantenendo una consapevolezza delle tecniche di Quantum Locker, i difensori possono anticipare e rispondere meglio agli attacchi potenziali, implementando misure di sicurezza robuste, effettuando regolari backup, correggendo prontamente le vulnerabilità e educando i dipendenti su phishing e altre tecniche di ingegneria sociale.
L’attività ridotta di Quantum Locker potrebbe essere attribuita a vari fattori, inclusi cambiamenti nell’obiettivo operativo degli attaccanti, priorità in evoluzione o sforzi accresciuti da parte dei professionisti della sicurezza informatica per interrompere le loro operazioni. Tuttavia, è importante notare che anche un numero ridotto di attacchi riusciti può portare a perdite finanziarie sostanziali, danni reputazionali e interruzioni operative per le entità bersaglio. Gli attacchi informatici rapidi sono diventati una nuova tendenza preoccupante, ponendo sfide significative alle organizzazioni di tutto il mondo. Mentre gli avversari continuano a sfruttare le vulnerabilità con una velocità fulminea, è fondamentale che le aziende rafforzino le loro difese di conseguenza.
Esplora SOC Prime Platform per armare il tuo team con i migliori strumenti che ogni difensore informatico dovrebbe avere a disposizione, indipendentemente dal livello di maturità e dalla pila tecnologica in uso. Affidati al potere della competenza collettiva del settore per beneficiare delle soluzioni all’avanguardia supportate dal linguaggio Sigma utilizzato in combinazione con il framework MITRE ATT&CK per abilitare una difesa informatica efficiente in termini di costi e a prova di futuro.
