In genere consigliamo alle vittime di ransomware di non disperare e di non cancellare nessun file, anche se all’inizio sembra impossibile poterli recuperare. Dopo tutto, un giorno la polizia potrebbe confiscare l’infrastruttura utilizzata dagli hacker o alcuni ricercatori potrebbero scoprire delle falle negli algoritmi del malware. Un esempio di quest’ultimo caso, è la ricerca realizzata da Kaspersky nei confronti del ransomware Yanluowang. I nostri esperti hanno scoperto una vulnerabilità che permette recuperare i file senza la necessità di disporre della chiave degli hacker (anche se, affinché questo sia possibile, si devono dare determinate condizioni).
Come decriptare i file criptati da Yanluowang
La vulnerabilità del malware Yanluowang permette la decrittazione dei file con l’aiuto di un attacco known-plaintext (conosciuto anche come attacco con testo in chiaro noto). Questo metodo aggira l’algoritmo di crittografia, ma per farlo ha bisogno di due versioni dello stesso testo: una pulita e una criptata. Quindi, se la vittima dispone di copie pulite di alcuni dei file criptati, o sa dove ottenerle, il nostro RannohDecryptor aggiornato può analizzarle e recuperare il resto dei dati.
Purtroppo però c’è un problema: Yanluowang corrompe i file in un modo leggermente diverso a seconda delle loro dimensioni. Cripta completamente i file di piccole dimensioni (meno di 3GB) e in parte quelli di grandi dimensioni. Quindi la loro decrittazione richiede file puliti di diverse dimensioni. Per i file più piccoli di 3GB, è sufficiente avere l’originale e una versione criptata del file di dimensioni pari o superiori a 1024 byte. Per recuperare file più grandi di 3GB, invece, sono necessari i file originali con le dimensioni corrette. Tuttavia, se si riesce a trovare un file pulito più grande di 3GB, in genere è possibile recuperare tutti i dati colpiti.
Cos’è Yanluowang e perché è pericoloso?
Yanluowang è un ransomware relativamente nuovo che cybercriminali sconosciuti usano per attaccare grandi aziende. È stato rilevato per la prima volta alla fine dell’anno scorso. Per avviare il processo di crittografia, il malware deve ricevere i corrispondenti parametri d’ingresso, il che suggerisce che un operatore controlla l’attacco in modo manuale. Ad oggi, tra le vittime di Yanluowang figurano aziende che hanno sede negli Stati Uniti, in Brasile e in Turchia.
Per i dettagli tecnici su Yanluowang, così come gli indicatori di compromissione, vi invitiamo a leggere il nostro post su Securelist.
Come proteggersi da Yanluowang
Per proteggersi dal ransomware, basta seguire i nostri consigli standard: mantenete sempre il software aggiornato; salvate i backup dei dati su uno storage offline; fornite ai dipendenti una formazione di base sulla cybersicurezza; infine, dotate tutti i dispositivi connessi di una protezione efficace contro i ransomware
Tuttavia, a causa dei numerosi attacchi mirati (anche quelli gestiti in modo manuale), è necessario un approccio alla sicurezza completo. Quindi i nostri esperti raccomandano anche:
- monitorare il traffico in uscita per rilevare tempestivamente le connessioni sospette;
- realizzare regolarmente audit sulla cybersicurezza;
- fornire ai dipendenti del SOC dati aggiornati sulle minacce informatiche
- coinvolgere esperti di terze parti