La ricerca evidenzia l’evoluzione delle tecniche ransomware e i rischi legati a RDP non protetti
Acronis, leader globale nella cybersecurity e nella protezione dati, comunica che l’Acronis Threat Research Unit (TRU) ha condotto una nuova analisi sulle più recenti campagne del ransomware Makop, una minaccia attiva dal 2020 e riconducibile alla famiglia Phobos. La ricerca evidenzia come il gruppo continui a sfruttare sistemi RDP esposti e non adeguatamente protetti, integrando però nuovi strumenti e tecniche per aumentare l’efficacia degli attacchi e aggirare le misure di sicurezza.
Le campagne osservate mostrano una metodologia deliberatamente a bassa complessità, basata sull’accesso iniziale tramite credenziali RDP deboli o riutilizzate, spesso ottenute attraverso attacchi di brute force o password spraying. Una volta ottenuto l’accesso, gli attaccanti procedono con attività di ricognizione e movimento laterale all’interno della rete, utilizzando strumenti comunemente disponibili per la scansione dei sistemi, l’estrazione delle credenziali e l’escalation dei privilegi.
Un elemento di rilievo emerso dall’analisi riguarda l’ampio ricorso a vulnerabilità di local privilege escalation su sistemi Windows, incluse falle note e documentate negli anni, sfruttate grazie alla disponibilità di proof-of-concept pubblici e affidabili. Questo approccio consente agli operatori di Makop di ottenere rapidamente privilegi di sistema, necessari per disabilitare i controlli di sicurezza e massimizzare l’impatto dell’attacco.
Accanto a queste tecniche consolidate, i ricercatori di TRU hanno osservato l’introduzione di Guloader, un malware di tipo loader utilizzato per distribuire payload aggiuntivi. Si tratta del primo caso documentato in cui Makop ricorre a un loader per la distribuzione del ransomware, segnando un’evoluzione nelle tattiche del gruppo e un allineamento con le modalità operative già adottate da altre famiglie ransomware. L’uso di Guloader consente una maggiore flessibilità nella catena di infezione e favorisce l’elusione dei sistemi di rilevamento.
Le attività di difesa evasiva rappresentano un altro aspetto centrale delle campagne analizzate. Sono stati identificati diversi strumenti finalizzati alla disattivazione o alla rimozione delle soluzioni di sicurezza, inclusi driver vulnerabili sfruttati secondo tecniche BYOVD (Bring Your Own Vulnerable Driver) e software legittimi abusati per terminare processi o disinstallare protezioni endpoint. In alcuni casi, il toolkit risulta adattato al contesto geografico delle vittime, come dimostra l’impiego di tool specifici per la rimozione di soluzioni antivirus diffuse in determinate aree.
Dal punto di vista geografico, oltre la metà degli attacchi osservati ha interessato organizzazioni con sede in India, seguite da casi rilevati in Brasile, Germania e altri Paesi. Secondo l’analisi di TRU, questa distribuzione riflette un approccio opportunistico, orientato a contesti caratterizzati da configurazioni di sicurezza carenti, che riducono lo sforzo necessario per compromettere i sistemi.
L’analisi delle campagne Makop conferma come punti di accesso apparentemente banali, quali servizi RDP esposti senza adeguate misure di protezione, possano tradursi in incidenti gravi. Il ricorso sistematico a strumenti comuni, vulnerabilità note e tecniche collaudate dimostra come anche attacchi a bassa sofisticazione possano risultare altamente efficaci in assenza di controlli adeguati.
Nel corso delle attività di analisi, le componenti utilizzate nelle campagne Makop sono state rilevate e bloccate dalle soluzioni Acronis EDR/XDR, in grado di intercettare sia il ransomware sia le diverse fasi della catena di attacco, incluse le attività di difesa evasiva, l’abuso di driver vulnerabili e l’esecuzione di malware loader come Guloader. L’approccio basato su analisi comportamentale e correlazione degli eventi consente di individuare tempestivamente queste minacce, anche quando fanno ricorso a strumenti legittimi o a tecniche già note.
Lo studio ribadisce infine l’importanza di adottare misure di sicurezza di base ma rigorose, tra cui l’uso di credenziali robuste, l’abilitazione dell’autenticazione a più fattori per l’accesso remoto e una gestione puntuale degli aggiornamenti di sicurezza, elementi essenziali per ridurre l’esposizione al rischio ransomware e ad altre minacce avanzate.
