Attenzione a Brain Cipher: in circolazione il nuovo ransomware basato su LockBit 3

Brain Cipher è il nome di un nuovo gruppo ransomware che si è recentemente affacciato sulla scena internazionale colpendo un datacenter indonesiano e attirando in questo modo l'attenzione degli analisti di sicurezza informatica.

L'Indonesia è al momento impegnata nella realizzazione di datacenter nazionali per la gestione dei servizi online al cittadino e per l'hosting dei dati. Lo scorso 20 giugno uno di questi datacenter è caduto vittima di un attacco informatico che ha crittografato i server governativi, con la conseguenza di causare interruzioni a vari servizi online, tra cui quelli di immigrazione, controllo passaporti e rilascio di permessi per eventi.

Si è trattato di un attacco con un impatto significativo poiché ha causato l'interruzione delle attività di oltre 200 agenzie governative. Gli autori del gesto hanno chiesto un riscatto di 8 milioni di dollari in Monero, per fornire il decryptor e con la promessa di non divulgare i dati sottratti.

Il governo indonesiano ha confermato che l'attacco è stato opera di Brain Cipher, che ha iniziato le porprie attività all'inizio del mese di giugno prendendo di mira diverse realtà in tutto il mondo. Broadcom ha emesso un bollettino di sicurezza relativo a Brain Cipher lo scorso 16 giugno. Il nuovo gruppo ransomware ha avviato la propria attività inizialmente senza alcun sito dove pubblicare e condividere i dati rubati tramite i loro attacchi, ma le recenti richieste di riscatto sembrano ora includerne uno.

Il ransomware Brain Cipher è stato realizzato a partire dal builder LockBit 3.0, apportando tuttavia alcune modifiche rispetto al funzionamento originale: in particolare Brain Cipher aggiunge un'estensione al file crittografato e va a crittografare anche il nome del file stesso.

Le richieste di riscatto vengono salvate in un file .txt che può avere diversi nomi e che include una breve spiegazione di quanto accaduto, le istruzioni su come corrispondere quanto richiesto ed una serie di minacce e indirizzi del sito Tor in cui vengono pubblicate le informazioni sottratte. Dal momento che il crittografo di Brain Chiper è realizzato sulla base di quello di LockBit 3, al momento non è possibile recuperare i file crittografati a meno di corrispondere il riscatto, in quanto non è disponibile alcun decryptor.

Al momento la strategia di attacco pare essere la medesima di altre situazioni simili: compromissione di una rete aziendale e successivo movimento laterale verso altri dispositivi connessi, fino all'ottenimento di credenziali di amministratore della rete stessa per diffondere il ransomware in tutta l'infrastruttura. Come ormai d'abitudine, prima dell'avvio delle operazioni di crittografia i dati vengono sottratti così da dar modo all'attore di minaccia di mettere in atto schemi di doppia estorsione.