La crescente minaccia informatica del Cloak Ransomware

Cloak Ransomware, la nuova minaccia informatica

Quando ci riferiamo al Cloak Ransomware, parliamo di un malware che, basandosi sulle crittografie, può bloccare i file dei dispositivi delle vittime.

Per poter avere nuovamente accesso ai propri file, le vittime devono di solito pagare un riscatto, che generalmente viene richiesto in criptovalute.

Ciò che rende questo attacco informatico molto pericoloso è che il malware è in grado di camuffarsi all’interno del sistema operativo infetto. Può, cioè, confondersi con sistemi legittimi, dato che è capace di modificare il proprio codice in itinere. Un dettaglio che lo rende capace di eludere antivirus e ordinari sistemi di sicurezza.

Attacco ransomware e phishing: i meccanismi di infezione

Per infettare i dispositivi delle vittime, il Cloak Ransomware può sfruttare diverse modalità di attacco.

Il veicolo più comune è il phishing: mediante l’invio di email che sfruttano metodi di ingegneria sociale, le vittime vengono contattate. Le email sembrano provenire da fonti affidabili, ma all’interno del messaggio si trovano allegati infetti, che condurranno la vittima a scaricare il payload del Cloak.

Uno degli aspetti più pericolosi delle campagne di phishing del Cloak Ransomware è che queste sono tra le più sofisticate mai realizzate.

I cybercriminali riescono a usare loghi autentici e, talvolta, anche firme digitali valide per convincere le vittime ad aprire gli allegati e a scaricarli sui loro dispositivi.

Il phishing, comunque, non è l’unico mezzo sfruttato per ordire l’attacco. Spesso il Cloak sfrutta vulnerabilità di applicazioni e sistemi operativi.

I cybercriminali dietro il gruppo Cloak: gli attori che minacciano la sicurezza informatica

La paternità del Cloak Ransomware è attribuita al gruppo Cloak. Gli obiettivi di questo nuovo gruppo di cybercriminali non solo solamente le grandi aziende: sembra che l’intento di base sia quello di colpire quante più vittime possibili, sfruttando metodi di ingegneria sociale e campagne di phishing mirate.

Il gruppo Cloak è relativamente recente. Secondo diverse fonti specializzate, come Cyberint, al suo interno potrebbero trovarsi ex membri di gruppi ransomware noto, come Conti o LockBit.

Stando ai dati diffusi dagli esperti di sicurezza informatica, Cloak Ransoware è riuscito a condurre attacchi di successo ai danni di diverse PMI. I dati sono particolarmente preoccupanti: su 23 piccole aziende, ben 21 sono state costrette a pagare il riscatto per ottenere l’accesso ai propri database.

Processi di crittografia dei file e richieste di riscatto

Una volta infettato il dispositivo, il Cloak Ransomware agisce avviando la crittografia dei dati. L’attacco sfrutta algoritmi di crittografia ibrida, di solito basati sulla combinazione di AES e RSA-2048.

In questo modo, solo ottenendo la chiave privata in possesso dei cybercriminali sarà possibile riavere accesso ai file e decriptarli.

Una volta criptati i file, gli hacker inviano la richiesta di riscatto. Stando alle informazioni disponibili sulle fasi successive dell’attacco con Cloak Ransomware, le vittime vengono invitate a contattare il gruppo utilizzando canali anonimi, di solito sul Dark Web.

Talvolta, le richieste di riscatto vengono inviate mediante file di testo, ma anche sfruttando sfondi per desktop.

Le tecniche estorsive del gruppo Cloak, purtroppo, sono molto efficaci, come abbiamo accennato ai paragrafi precedenti.

Di solito, la percentuale di pagamento del riscatto si aggira tra il 91% e il 96% delle vittime, che decidono di pagare per evitare la perdita dei dati e la divulgazione pubblica di dati sensibili.

È noto, infatti, l’uso da parte di Cloak di piattaforme utilizzate per pubblicare i dati rubati quando le vittime non pagano il riscatto. Di solito, soprattutto quando si tratta di aziende, si accetta quindi di pagare per evitare la pubblica umiliazione.

Clock Ransomware e IAB

La diffusione del Cloak Ransomware ha messo in luce un aspetto critico della criminalità informatica. Il cybercrime vanta oggigiorno tutta una serie di figure specializzate. I cybercriminali, infatti, non operano più isolatamente, ma si sono organizzati in gruppi in cui tutti hanno un ruolo specifico.

Nello specifico caso di Cloak, gli esperti in cybersicurezza hanno recentemente concluso che il gruppo ransomware si avvale di una collaborazione con gli IAB.

Con questo termine si indicano gli Initial Access Brokers, ossia delle figure specializzate che si occupano di fornire una prima porta d’accesso ai sistemi informatici.

In altre parole, il gruppo Cloak collabora con gli IAB, che si occupano di vendere accessi già pronti. In questo modo, la diffusione del malware avviene in tempi più rapidi.

Cloak Ransomware: come proteggersi e difendersi

La lotta contro il Cloak Ransomware non si vince con un singolo software, dato che come abbiamo detto spesso questo attacco non viene rilevato dai classici antivirus.

È quindi fondamentale un approccio multilivello basato su prevenzione, tecnologie e formazione dei dipendenti.

La miglior difesa contro i danni del Cloak Ransomware è la prevenzione. Questo vale per tutte le infezioni da malware in generale e ransomware in particolare.

Bisogna, cioè, prestare molta attenzione agli allegati scaricati, ed effettuare download solo da fonti ufficiali e verificate.

Inoltre, è necessario aggiornare i software in maniera frequente, limitando gli aggiornamenti di terze parti che potrebbero contenere virus.

Infine, dato che il fattore umano gioca un ruolo importantissimo, investire nella formazione dei dipendenti è una delle misure più efficaci contro il ransomware. Bisognerebbe dunque avviare programmi di simulazione di phishing, corsi di sensibilizzazione e aggiornamenti regolari per consentire ai lavoratori a riconoscere i segnali di un attacco prima che sia troppo tardi.