NEWS

Il ransomware LockerGoga infetta i sistemi della società francese Altran: i sistemi ancora down


MERCOLEDÌ 30 GENNAIO 2019 - 15:50


Uno sconosciuto gruppo di cyber attaccanti ha colpito i sistemi di Altran Technologies, una importante multinazionale francese di consulenza ingegneristica, con un malware diffuso attraverso la rete aziendale: sono risultate compromesse, così,  le operazioni in diversi paesi europei. Data l'estrema pericolosità dell'accaduto, per proteggere i propri dati e i dati dei clienti Altran ha deciso di arrestare la propria rete e le applicazioni.

L'attacco è avvenuto il 24 Gennaio, ma l'azienda ha rilasciato una dichiarazione pubblica (liink) soltanto ieri: nel testo pochissimi dettagli riguardo all'attacco e la rassicurazione che tecnici esperti di terze parti ed esperti di informatica forense stanno indagando. 

Altran colpita con un nuovo ransomware: LockerGoga
Altran non ha fatto riferimento al tipo di malware che ha colpito le reti aziendali,  ma sono molti i ricercatori che, seguendo tracce pubbliche, hanno trovato prove sufficienti per affermare che il ransomware usato nel corso di questo attacco sia un nuovo tipo, chiamato LockerGoga:  parliamo di un nuovo ransomware  il cui nome deriva dal source code trovato entro un suo eseguibile. 

X:\work\Projects\LockerGoga\cl-src-last\cryptopp\src\rijndael_simd.cpp

La prima menzione pubblica del cyberattacco contro Altran è arrivata con un tweet del 25 Gennaio: un ricercatore di sicurezza ha risposto al tweet spiegando che dietro all'attacco c'è un campione di malware caricato su VirusTotal.  Il campione in questione è stato caricato la prima volta il 24 Gennaio dalla Romania e successivamente anche dai Paesi Bassi: evenienza spiegabile col fatto che questo ransomware, diffondendosi nelle reti aziendali, è riuscito ad infettare anche uffici in altri paesi.  Il tasso di individuazione di questo file era di 26 motori su 69, ma in pochissimi giorni è stato riconosciuto da molti altri motori antivirus: il tasso attuale si aggira attorno ai 43. 

Il codice non sembra affatto raffinato: la routine di criptazione appare molto lenta, dato che viene generato un nuovo processo di criptazione per ogni nuovo file da criptare. Oltre a ciò sembra che LockerGoga non abbia alcun interesse ad eludere il rilevamento da parte delle soluzioni antivirus. Cripta anche un numero limitato di estensioni bersaglio, tra le quali DOC, DOT, WBK, DOCX, DOTX, DOCB, XLM, XLSX, XLTX, XLSB, XLW, PPT, POT, PPS, PPTX, POTX, PPSX, SLDX e i file PDF.

Durante il processo di criptografia, questo ransomware modifica l'estensione dei file bersaglio in .locked. Nell'immagine sotto un esempio di file criptati.

 

Alcuni campioni hanno dimostrato di avere la capacità di cancellare le copie shadow del volume, altri invece no: la cancellazione delle copie shadow di volume serve ad impedire la possibilità di ripristinare i file. 

Terminata la routine di criptazione, il ransomware copia la nota di riscatto README-NOW.txt sul desktop: qui si trovano le indicazioni per il pagamento del riscatto  e le email di contatto, che sono:
  • CottleAkela@protonmail.com 
  • QyavauZehyco1994@o2.pl

La nota di riscatto suggerisce in maniera evidente che i target favoriti di questo malware sono proprio le aziende: particolarità non esclusiva, ma sicuramente rara, gli attaccanti offrono la decriptazione gratuita di un piccolo numero di file per dimostrare l'effettivo funzionamento del tool di decriptazione. 

LockerGoga usa un certificato valido
Analisi approfondite dei campioni di LockerGoga hanno mostrato come questo ransomware sia contrassegnato con un certificato valido, caratteristica che aumenta le sue chances di diffusione senza sollevare sospetti. 


Ovviamente il certificato, concesso dalla Comodo Certificate Authority, è stato revocato. 

La situazione ad oggi
Nel momento in cui scriviamo questo breve testo,  i sistemi di Altran technologies continuano a non essere disponibili.  Altran non ha fornito ulteriori informazioni riguardanti l'attacco subito. 

Le ultime news

Chi siamo

Risorse

Supporto

Area informativa

 





Distributore ufficiale per l'Italia
S-MART è un marchio di proprietà netWork Sas
P.IVA: 05345670482




© 2017     |     Privacy Policy     |     Cookie Policy     |     Login