NoName: la nuova minaccia ransomware emergente nel mondo delle cybercrime. Analisi della Gang e delle sue TTPs

Sandro Sana : 17 Gennaio 2024 07:09

A cura di Sandro Sana, team leader della divisione di Eurosystem.

Nel mondo della sicurezza informatica, le minacce evolvono costantemente e nuove gang di ransomware emergono periodicamente. Durante le analisi di un incidente che ha coinvolto un’azienda PMI italiana durante le festività di Natale, il Team di Cybersecurity del Gruppo Eurosystem, ha avuto a che fare con una nuova ransomware gang chiamata NoName.

Chi sono i black hacker di NoName ransomware

Per prima cosa, anche se il loro nome risulta simile a quello dei NoName057(16), iniziamo col dire che non hanno nulla a che vedere con l’hacktivismo filorusso. Questa gang ha iniziato la sua attività nel novembre 2023 e sta attirando l’attenzione degli esperti per la sua particolare modalità di operare.

Christmas Sale -40% 𝗖𝗵𝗿𝗶𝘀𝘁𝗺𝗮𝘀 𝗦𝗮𝗹𝗲! Sconto del 𝟰𝟬% 𝘀𝘂𝗹 𝗽𝗿𝗲𝘇𝘇𝗼 𝗱𝗶 𝗰𝗼𝗽𝗲𝗿𝘁𝗶𝗻𝗮 del Corso "Dark Web & Cyber Threat Intelligence" in modalità E-Learning sulla nostra Academy!🚀 Fino al 𝟯𝟭 𝗱𝗶 𝗗𝗶𝗰𝗲𝗺𝗯𝗿𝗲, prezzi pazzi alla Red Hot Cyber Academy. 𝗧𝘂𝘁𝘁𝗶 𝗶 𝗰𝗼𝗿𝘀𝗶 𝘀𝗰𝗼𝗻𝘁𝗮𝘁𝗶 𝗱𝗲𝗹 𝟰𝟬% 𝘀𝘂𝗹 𝗽𝗿𝗲𝘇𝘇𝗼 𝗱𝗶 𝗰𝗼𝗽𝗲𝗿𝘁𝗶𝗻𝗮. Per beneficiare della promo sconto Christmas Sale, scrivici ad [email protected] o contattaci su Whatsapp al numero di telefono: 379 163 8765. Supporta Red Hot Cyber attraverso:  L'acquisto del fumetto sul Cybersecurity Awareness Ascoltando i nostri Podcast Seguendo RHC su WhatsApp Seguendo RHC su Telegram Scarica gratuitamente “Byte The Silence”, il fumetto sul Cyberbullismo di Red Hot Cyber Se ti piacciono le novità e gli articoli riportati su di Red Hot Cyber, iscriviti immediatamente alla newsletter settimanale per non perdere nessun articolo. La newsletter generalmente viene inviata ai nostri lettori ad inizio settimana, indicativamente di lunedì.

NoName si distingue per l’uso di un ransomware a doppia chiave di crittografia, un metodo sofisticato che rende ancora più difficile per le vittime ripristinare i propri dati senza pagare il riscatto. Questo significa che le vittime devono avere entrambe le chiavi di decrittografia per ripristinare i loro dati, rendendo ancora più complesso il processo di recupero.

NoName mira a crittografare i dati, cancellare i backup e persino a fare il wipe dei dischi contenenti i backup. Questo approccio molto aggressivo mette a rischio la possibilità di ripristinare i dati senza pagare il riscatto richiesto.

Le somiglianze grafiche con LockBit e le richieste di riscatto

Nel dark web, NoName ha un data leak site (DLS) che presenta molte somiglianze con quello della famigerata gang LockBit, la quale, smentisce però qualsiasi affiliazione con tale gang, anche se tutto fa pensare che si tratti di qualche affiliato. Gli esperti di sicurezza stanno ancora cercando di tracciare l’origine e le connessioni di questa organizzazione emergente.

Un aspetto particolare della gang NoName è rappresentato dai bassi riscatti richiesti alle vittime. Mentre molte altre chiedono riscatti elevati per il ripristino dei dati, NoName sembra avere una politica di richieste più contenute.

Questa caratteristica potrebbe essere intenzionale per attirare aziende di piccole e medie dimensioni che potrebbero essere più inclini a pagare riscatti più bassi rispetto a quelli richiesti da altre gang.

L’attività di NoName rappresenta una minaccia significativa per le aziende colpite. La crittografia dei dati e la cancellazione dei backup possono causare gravi interruzioni operative e perdite finanziarie. Inoltre, il fatto che NoName tenda a esfiltrare i dati potrebbe non garantire la protezione delle informazioni sensibili delle aziende, aumentando così il rischio di ulteriori violazioni della privacy e abusi delle informazioni.

Come proteggersi dal ransomware

Per proteggersi dalle minacce delle ransomware gang, le aziende devono adottare un approccio olistico alla sicurezza informatica. Alcune contromisure consigliate includono:

1. Backup regolari e offline: Mantenere copie regolari dei dati aziendali in dispositivi di backup offline può ridurre l’impatto di un attacco ransomware. Assicurarsi che i backup siano crittografati e conservati in un luogo sicuro.
2. Aggiornamenti e patching: Mantenere tutti i sistemi operativi e il software aggiornati con gli ultimi patch di sicurezza può ridurre le vulnerabilità che potrebbero essere sfruttate da malware.
3. Consapevolezza degli utenti: Formare e sensibilizzare i dipendenti sull’importanza delle buone pratiche di sicurezza informatica, come l’evitare di aprire allegati sospetti o cliccare su link non verificati.
4. Soluzioni di sicurezza avanzate: Utilizzare soluzioni di sicurezza avanzate come firewall, antivirus, antimalware e sistemi di rilevamento delle intrusioni per proteggere la rete aziendale e rilevare eventuali attività sospette.
5. Risposta agli incidenti: Avere un piano di risposta agli incidenti in caso di attacco ransomware è fondamentale. Questo piano dovrebbe includere procedure per isolare il sistema compromesso, ripristinare i dati dai backup e coinvolgere esperti di sicurezza informatica per analizzare l’attacco e mitigare i rischi futuri.

In conclusione, la gang NoName rappresenta una nuova minaccia nel panorama della criminalità informatica. La sua modalità di operare, l’assenza di affiliazioni con altre gang e i bassi riscatti richiesti sollevano molte domande sulle intenzioni e le motivazioni di questa gang. È fondamentale che le aziende adottino misure di sicurezza adeguate per proteggersi da tali minacce, adottando pratiche migliori come il backup regolare, l’aggiornamento dei sistemi e la sensibilizzazione degli utenti. Inoltre, è importante che le autorità competenti e gli esperti di sicurezza informatica collaborino per identificare e contrastare questa nuova gang emergente.

Questa scoperta sottolinea l’importanza della collaborazione tra le aziende, le forze dell’ordine e gli esperti di sicurezza informatica. Condividere informazioni sulle minacce e le tecniche degli attaccanti può aiutare a sviluppare contromisure più efficaci e a proteggere meglio le organizzazioni da futuri attacchi.

Seguici su Google News, LinkedIn, Facebook e Instagram per ricevere aggiornamenti quotidiani sulla sicurezza informatica. Scrivici se desideri segnalarci notizie, approfondimenti o contributi da pubblicare.

Sandro Sana
Membro del gruppo di Red Hot Cyber Dark Lab e direttore del Red Hot Cyber PodCast. Si occupa d'Information Technology dal 1990 e di Cybersecurity dal 2014 (CEH - CIH - CISSP - CSIRT Manager - CTI Expert), relatore a SMAU 2017 e SMAU 2018, docente SMAU Academy & ITS, membro ISACA. Fa parte del Comitato Scientifico del Competence Center nazionale Cyber 4.0, dove contribuisce all’indirizzo strategico delle attività di ricerca, formazione e innovazione nella cybersecurity.

Lista degli articoli
Visita il sito web dell'autore