FiveHands Ransomware ruba e crittografa i file, minaccia di farli trapelare online

FiveHands Ransomware è un Trojan per la crittografia dei file, che è molto diverso dai normali file-locker con cui gli utenti devono occuparsi. In genere, gli attacchi ransomware sono piuttosto caotici e i loro autori si concentrano sulla quantità piuttosto che sulla qualità. A volte, tuttavia, gli attori delle minacce più avanzati vanno dietro a un gruppo specifico di vittime che è molto più probabile che prenda in considerazione il pagamento della tassa di riscatto. Questo è il caso del FiveHands Ransomware recentemente identificato. Questa minaccia condivide somiglianze con le famiglie DeathRansom e HelloKitty Ransomware, ma i ricercatori non sono in grado di dire con certezza se lo stesso gruppo sia dietro tutte queste famiglie di ransomware.

Un altro fatto interessante su FiveHands Ransomware è il vettore di infezione che utilizza. Invece di fare affidamento su e-mail di phishing, gli autori hanno sfruttato una vulnerabilità zero-day nell'hardware VPN SonicWall SMA serie 100. La falla di sicurezza è stata corretta a febbraio, ma i client che non hanno ancora applicato l'aggiornamento rischiano di compromettere la sicurezza del loro sistema. La vulnerabilità in questione consente agli aggressori di eseguire codice arbitrario, che potrebbe consentire loro di piantare manualmente malware su sistemi compromessi. È importante notare che FiveHands Ransomware era di solito l'ultima minaccia da eliminare: in precedenza, i criminali si affidavano al beacon Cobalt Strike e al Trojan SombRAT.

Proprio come i tipici attacchi ransomware, anche questo finisce con un messaggio per la vittima. La nota dice che gli utenti devono utilizzare il client di messaggi incorporato per chattare con gli aggressori e scoprire come recuperare i propri dati. I criminali non solo minacciano di eliminare la chiave di decrittazione, ma avvertono anche le loro vittime che i loro dati potrebbero essere pubblicati online se non accettano di pagare.

Sfortunatamente, la crittografia di FiveHands Ransomware non è difettosa e la decrittografia gratuita non è un'opzione: il ripristino da un backup è il modo migliore per annullare il danno. Campagne come questa sono un buon promemoria del motivo per cui sia gli amministratori di sistema che gli utenti domestici dovrebbero assicurarsi di mantenere tutto il loro software aggiornato.