NoName: la nuova minaccia ransomware emergente nel mondo delle cybercrime. Analisi della Gang e delle sue TTPs

Sandro Sana : 17 Gennaio 2024 07:09

A cura di Sandro Sana, team leader della divisione di Eurosystem.

Nel mondo della sicurezza informatica, le minacce evolvono costantemente e nuove gang di ransomware emergono periodicamente. Durante le analisi di un incidente che ha coinvolto un’azienda PMI italiana durante le festività di Natale, il Team di Cybersecurity del Gruppo Eurosystem, ha avuto a che fare con una nuova ransomware gang chiamata NoName.

Chi sono i black hacker di NoName ransomware

Per prima cosa, anche se il loro nome risulta simile a quello dei NoName057(16), iniziamo col dire che non hanno nulla a che vedere con l’hacktivismo filorusso. Questa gang ha iniziato la sua attività nel novembre 2023 e sta attirando l’attenzione degli esperti per la sua particolare modalità di operare.

Sponsorizza la prossima Red Hot Cyber Conference! Il giorno Lunedì 18 maggio e martedì 19 maggio 2026 9 maggio 2026, presso il teatro Italia di Roma (a due passi dalla stazione termini e dalla metro B di Piazza Bologna), si terrà la V edizione della la RHC Conference.  Si tratta dell’appuntamento annuale gratuito, creato dalla community di RHC, per far accrescere l’interesse verso le tecnologie digitali, l’innovazione digitale e la consapevolezza del rischio informatico.  Se sei interessato a sponsorizzare l'evento e a rendere la tua azienda protagonista del più grande evento della Cybersecurity Italiana, non perdere questa opportunità. E ricorda che assieme alla sponsorizzazione della conferenza, incluso nel prezzo, avrai un pacchetto di Branding sul sito di Red Hot Cyber composto da Banner più un numero di articoli che saranno ospitati all'interno del nostro portale.  Quindi cosa stai aspettando? Scrivici subito a [email protected] per maggiori informazioni e per accedere al programma sponsor e al media Kit di Red Hot Cyber. Supporta Red Hot Cyber attraverso:  L'acquisto del fumetto sul Cybersecurity Awareness Ascoltando i nostri Podcast Seguendo RHC su WhatsApp Seguendo RHC su Telegram Scarica gratuitamente “Byte The Silence”, il fumetto sul Cyberbullismo di Red Hot Cyber Se ti piacciono le novità e gli articoli riportati su di Red Hot Cyber, iscriviti immediatamente alla newsletter settimanale per non perdere nessun articolo. La newsletter generalmente viene inviata ai nostri lettori ad inizio settimana, indicativamente di lunedì.

NoName si distingue per l’uso di un ransomware a doppia chiave di crittografia, un metodo sofisticato che rende ancora più difficile per le vittime ripristinare i propri dati senza pagare il riscatto. Questo significa che le vittime devono avere entrambe le chiavi di decrittografia per ripristinare i loro dati, rendendo ancora più complesso il processo di recupero.

NoName mira a crittografare i dati, cancellare i backup e persino a fare il wipe dei dischi contenenti i backup. Questo approccio molto aggressivo mette a rischio la possibilità di ripristinare i dati senza pagare il riscatto richiesto.

Le somiglianze grafiche con LockBit e le richieste di riscatto

Nel dark web, NoName ha un data leak site (DLS) che presenta molte somiglianze con quello della famigerata gang LockBit, la quale, smentisce però qualsiasi affiliazione con tale gang, anche se tutto fa pensare che si tratti di qualche affiliato. Gli esperti di sicurezza stanno ancora cercando di tracciare l’origine e le connessioni di questa organizzazione emergente.

Un aspetto particolare della gang NoName è rappresentato dai bassi riscatti richiesti alle vittime. Mentre molte altre chiedono riscatti elevati per il ripristino dei dati, NoName sembra avere una politica di richieste più contenute.

Questa caratteristica potrebbe essere intenzionale per attirare aziende di piccole e medie dimensioni che potrebbero essere più inclini a pagare riscatti più bassi rispetto a quelli richiesti da altre gang.

L’attività di NoName rappresenta una minaccia significativa per le aziende colpite. La crittografia dei dati e la cancellazione dei backup possono causare gravi interruzioni operative e perdite finanziarie. Inoltre, il fatto che NoName tenda a esfiltrare i dati potrebbe non garantire la protezione delle informazioni sensibili delle aziende, aumentando così il rischio di ulteriori violazioni della privacy e abusi delle informazioni.

Come proteggersi dal ransomware

Per proteggersi dalle minacce delle ransomware gang, le aziende devono adottare un approccio olistico alla sicurezza informatica. Alcune contromisure consigliate includono:

1. Backup regolari e offline: Mantenere copie regolari dei dati aziendali in dispositivi di backup offline può ridurre l’impatto di un attacco ransomware. Assicurarsi che i backup siano crittografati e conservati in un luogo sicuro.
2. Aggiornamenti e patching: Mantenere tutti i sistemi operativi e il software aggiornati con gli ultimi patch di sicurezza può ridurre le vulnerabilità che potrebbero essere sfruttate da malware.
3. Consapevolezza degli utenti: Formare e sensibilizzare i dipendenti sull’importanza delle buone pratiche di sicurezza informatica, come l’evitare di aprire allegati sospetti o cliccare su link non verificati.
4. Soluzioni di sicurezza avanzate: Utilizzare soluzioni di sicurezza avanzate come firewall, antivirus, antimalware e sistemi di rilevamento delle intrusioni per proteggere la rete aziendale e rilevare eventuali attività sospette.
5. Risposta agli incidenti: Avere un piano di risposta agli incidenti in caso di attacco ransomware è fondamentale. Questo piano dovrebbe includere procedure per isolare il sistema compromesso, ripristinare i dati dai backup e coinvolgere esperti di sicurezza informatica per analizzare l’attacco e mitigare i rischi futuri.

In conclusione, la gang NoName rappresenta una nuova minaccia nel panorama della criminalità informatica. La sua modalità di operare, l’assenza di affiliazioni con altre gang e i bassi riscatti richiesti sollevano molte domande sulle intenzioni e le motivazioni di questa gang. È fondamentale che le aziende adottino misure di sicurezza adeguate per proteggersi da tali minacce, adottando pratiche migliori come il backup regolare, l’aggiornamento dei sistemi e la sensibilizzazione degli utenti. Inoltre, è importante che le autorità competenti e gli esperti di sicurezza informatica collaborino per identificare e contrastare questa nuova gang emergente.

Questa scoperta sottolinea l’importanza della collaborazione tra le aziende, le forze dell’ordine e gli esperti di sicurezza informatica. Condividere informazioni sulle minacce e le tecniche degli attaccanti può aiutare a sviluppare contromisure più efficaci e a proteggere meglio le organizzazioni da futuri attacchi.

Sandro Sana
Membro del gruppo di Red Hot Cyber Dark Lab e direttore del Red Hot Cyber PodCast. Si occupa d'Information Technology dal 1990 e di Cybersecurity dal 2014 (CEH - CIH - CISSP - CSIRT Manager - CTI Expert), relatore a SMAU 2017 e SMAU 2018, docente SMAU Academy & ITS, membro ISACA. Fa parte del Comitato Scientifico del Competence Center nazionale Cyber 4.0, dove contribuisce all’indirizzo strategico delle attività di ricerca, formazione e innovazione nella cybersecurity.

Lista degli articoli
Visita il sito web dell'autore