Medusa attacca ancora: a ferragosto vittima Postel

Un ransomware con un idea ed un nome originali: Medusa è il nome in codice per l’attacco hacker che sta colpendo molti sistemi informatici e creando ulteriore polemica sulla sicurezza dei nostri dati.



Gli attacchi informatici sono sempre più all’ordine del giorno. Dopo la serie di spiacevoli attacchi terroristici che a cavallo dei primi anni duemila hanno colpito i paesi più sviluppati, nell’ambito della sicurezza informatica il cyberattacco è diventato un nuovo modo di mostrare alla societá le sue debolezze.

Cosa è un attacco informatico?

Con il termine Cyberattacco nel gergo informatico si indica una qualunque manovra impiegata da individui od organizzazioni che colpisca sistemi informatici, infrastrutture, reti e/o dispositivi elettronici tramite atti malevoli, finalizzati al furto, alterazione o distruzione di specifici obiettivi violando sistemi suscettibili.

Un ransomware è un tipo di malware che limita l’accesso del dispositivo che infetta, richiedendo un riscatto (ransom in inglese) da pagare per rimuovere la limitazione. Ad esempio alcune forme di ransomware bloccano il sistema e intimano all’utente di pagare per sbloccare il sistema, altri invece cifrano i file dell’utente chiedendo di pagare per riportare i file cifrati in chiaro. Medusa è proprio questo: questo ransomware che solo nell’ultimo mese ha colpito 17 target differenti.

Proprio la scorsa settimana i cybercriminali hanno attirato l’attenzione dei media per aver rivendicato un attacco alle scuole pubbliche di Minneapolis e aver condiviso in rete i dati rubati in quell’occasione. 

Operazione Medusa, MedusaLocker e Medusa Blog

Sembra che il paragone con la gorgone della mitologia greca piaccia molto agli hacker. Infatti accanto ai ransomware del gruppo criminale Medusa è nato il blog che promuove il data leak, per pubblicare i dati rubati delle vittime che hanno rifiutato di pagare il riscatto.

Il MedusaLocker, in circolo dagli albori della nascita del gruppo allo stato attuale identifica un ransomware, spesso confuso con quello Medusa. L’operazione MedusaLocker è stata lanciata nel 2019 come “Ransomware-as-a-Service”, con numerosi affiliati e una nota di riscatto pubblicata in un file html. Al contrario, il ransomware Medusa è in circolazione da giugno 2021 e si contraddistingue per l’uso dell’estensione di file crittografata statica .MEDUSA e per la nota di riscatto pubblicata in un file di testo (!!!READ_ME_MEDUSA!!!.txt).

Medusa invece ha utilizzato negli anni più strategie d’infezione a partire da un file batch iniziale e un documento di testo, utilizzato per iniettare il ransomware nella memoria del sistema target attendendo l’esecuzione. In particolare, questo ransomware utilizza il codice PowerShell noto per eseguire l’iniezione riflessiva del suo codice, facendo sì che PowerShell stesso esegua l’attività dannosa. Inoltre Medusa ha la capacità di terminare oltre 280 servizi e processi Windows ed eliminare le copie shadow del volume di Windows per impedire che vengano utilizzate per recuperare i file.

Il CISA (Cybersecurity and Infrastructure Security Agency) si è interessato da tempo alla tipologia di malware ed ha fatto partire il programma #StopRansomware per raccogliere e analizzare segnalazioni e dati sull’attività illecita degli hacker, fornendo anche consigli per la risoluzione delle infezioni. Basti pensare che a questo virus si sono interessati anche l’FBI (Federal Bureau of Investigation) e il FinCEN (Financial Crimes Enforcement Network).

Gli hacker dietro il ransomware Medusa spesso ottengono l’accesso ai dispositivi delle vittime attraverso configurazioni vulnerabili del Remote Desktop Protocol (RDP). Inoltre utilizzano spesso anche campagne di posta elettronica di phishing e spam, allegando direttamente il ransomware all’e-mail, come vettori di intrusione iniziale.

I pagamenti di riscatto, sono purtroppo di importo rilevante, come CISA ha tracciato nel bollettino. Nell’eseguire Medusa Locker sul computer della vittima, portata a termine l’operazione di crittografia di tutti i file disponibili, quest’ultimo lascia, su ogni cartella, una nota di riscatto in un file di testo, con dentro tutte le istruzioni per effettuare il pagamento in Bitcoin.

Attacco a Postel: cosa è successo

Postel, società controllata da Poste italiane che si occupa di invii massivi di posta e direct marketing, non ha avuto un buon Ferragosto quest’anno. Il gruppo è stato colpito da un attacco informatico a opera della gang ransomware Medusa, che ha dichiarato sul proprio sito di essere in possesso di una mole enorme di dati di Postel, che vanno da documenti personali dei dipendenti, abilitazioni Spid, file di tipo fiscale e amministrativo, informazioni su assunzioni regolate dalla legge 104, cedolini e dati su Covid-19.

Non solo: Medusa minaccia di rendere pubbliche le informazioni se non sarà pagato un riscatto di 500mila dollari. O tranche di 10mila dollari al giorno per posticipare di 24 ore la scadenza. Pena, 8 giorni dopo la violazione, la diffusione dei dati sottratti.

Tanti i dati personali trafugati in questa operazione, Poste Italiane fa sapere che “attualmente risultano essere stati interessati solo dati interni all’azienda” e che “la società ha già è parzialmente ripristinato i servizi e sta lavorando per completare velocemente il completo ripristino dei sistemi. Inoltre, è già stata verificata la completa disponibilità degli archivi di backup dei sistemi, verifica che permetterà una completa azione di recupero“. In attesa di capire come evolverà la situazione, vi consigliamo alcuni metodi per prevenire questi attacchi.

Come prevenire l’attacco del ransomware Medusa

Tra le azioni di prevenzione suggerite dagli esperti dell’ente governativo che ha portato avanti le ricerche dall’inizio della diffusione di Medusa, vi è sicuramente la formazione del personale dipendente a tutti i livelli delle organizzazioni. Chiunque abbia a che fare con dispositivi informatici infatti è fondamentale. Saper riconoscere una mail di phishing e saperla gestire senza che le azioni mettano a rischio l’organizzazione è un requisito base. Così come Perseo nel bronzo tiene la testa di Medusa dopo aver sconfitto la gorgone, così potremmo tutti essere vittoriosi contro gli attacchi terroristici del XXIesimo secolo.


Maria Grazia Cosso: Contributor, studentessa di ingegneria informatica e nel tempo libero esploratrice di novità. Fiera Calabrese e appassionata sin dai tempi del Compaq Presario 425 ai computer, ha reso oggi questa sua passione il suo futuro. Segue da sempre il progresso e lo sviluppo delle nuove tecnologie, le piace stare al passo con le ultime uscite e testarle in prima persona, ogni tanto riesce anche a guardare qualche serie tv.
Post collegati