FOG e TellYouThePass: due nuove minacce ransomware che colpiscono il settore educativo

Nel panorama sempre più complesso e pericoloso della sicurezza informatica, nuovi attori e varianti di malware emergono continuamente, minacciando l’integrità e la sicurezza dei dati di organizzazioni in tutto il mondo. Recentemente, Artic Wolfs Labs ha scoperto una nuova variante di ransomware chiamata FOG, che ha iniziato a bersagliare prevalentemente il settore educativo negli Stati Uniti. Questa scoperta si affianca a un altro allarme lanciato dai ricercatori di Imperva riguardante il ransomware TellYouThePass, noto dal 2019, che ora sfrutta una vulnerabilità PHP tracciata come CVE-2024-4577.

FOG: il ransomware che oscura il settore educativo

FOG si distingue come un ransomware altamente sofisticato, progettato per criptare file e rendere inaccessibili dati critici. Gli autori di questa minaccia operano nell’ombra, molto probabilmente affiliati a operazioni di ransomware-as-a-service (RaaS). Questi gruppi criminali utilizzano credenziali VPN compromesse per infiltrarsi nelle reti delle vittime, un metodo che sottolinea la necessità di una gestione rigorosa e sicura delle credenziali di accesso.

Gli amministratori di rete nel settore educativo sono chiamati a mantenere alta la guardia e ad adottare misure proattive per mitigare i rischi in tempo reale. Tra le azioni consigliate vi sono il monitoraggio costante delle attività di rete, l’implementazione di autenticazione multi-fattore (MFA) e l’educazione continua del personale sulle migliori pratiche di sicurezza informatica.

TellYouThePass: vecchie minacce con nuovi strumenti

Mentre FOG rappresenta una minaccia emergente, il gruppo ransomware TellYouThePass continua a evolversi, sfruttando nuove vulnerabilità per infettare i sistemi delle vittime. La vulnerabilità PHP CVE-2024-4577, benché già corretta con un aggiornamento, viene ancora utilizzata dai criminali per caricare web shell dannose su sistemi Windows PHP, aprendo la strada all’installazione del ransomware.

Questo modus operandi evidenzia l’importanza cruciale di mantenere i sistemi aggiornati con le ultime patch di sicurezza e di implementare controlli rigorosi sull’upload dei file web. Le organizzazioni devono essere consapevoli delle vulnerabilità note e agire tempestivamente per applicare le correzioni disponibili.

Pagamenti in criptovaluta e doppia estorsione

In entrambi i casi, i criminali informatici dietro FOG e TellYouThePass richiedono pagamenti in criptovaluta, generalmente in cifre a doppia cifra, come riscatto per la decrittazione dei dati. Tuttavia, le autorità di sicurezza sconsigliano fortemente di cedere a queste richieste, poiché non vi è alcuna garanzia che i dati vengano effettivamente recuperati o che i criminali non diffondano comunque le informazioni rubate.

Le vittime di attacchi ransomware devono essere preparate a rispondere senza pagare il riscatto. L’utilizzo di backup sicuri e aggiornati può essere una soluzione efficace per recuperare i dati senza cedere al ricatto. Inoltre, è fondamentale coinvolgere le forze dell’ordine per affrontare in modo appropriato la situazione e contribuire alle indagini sui gruppi criminali responsabili.

Conclusioni

La scoperta di nuove varianti di ransomware come FOG e l’evoluzione continua di minacce esistenti come TellYouThePass sottolineano come le organizzazioni, in particolare quelle del settore educativo, devono essere vigili, informate e pronte a implementare le migliori pratiche di sicurezza per proteggere i propri dati e infrastrutture. Solo attraverso una combinazione di prevenzione, preparazione e risposta efficace è possibile mitigare i rischi e ridurre l’impatto di questi attacchi devastanti.