Due anni dopo la chiusura delle attività di Avaddon, gli esperti di sicurezza avevano formulato l’ipotesi del suo ritorno con un nuovo nome. Da giugno, tale previsione si è rivelata corretta con l’emergere di “NoEscape“, l’erede del ransomware Avaddon. Nel breve lasso di tempo trascorso, NoEscape ha già colpito 10 aziende, richiedendo riscatti che raggiungono la cifra di 10 milioni di dollari. La situazione sta destando preoccupazione e attenzione da parte delle autorità e degli esperti del settore per affrontare questa minaccia informatica.
NoEscape: Il Rebranding di Avaddon con un Ransomware Rinnovato
Il gruppo Avaddon, noto per il ransomware omonimo, è rimasto attivo per un anno fino a giugno 2021, quando ha misteriosamente chiuso tutte le sue operazioni. Tuttavia, esattamente due anni dopo, è riemerso con una nuova identità: NoEscape. Il ricercatore Michael Gillespie ha rilevato che il nuovo ransomware utilizza un metodo di cifratura simile al suo predecessore, con file di configurazione e direttive identici. La principale differenza risiede nell’adozione dell’algoritmo Salsa20, che ha sostituito l’originario AES. Questo ha fatto sorgere l’ipotesi che gli autori di NoEscape abbiano probabilmente acquistato il codice sorgente dal gruppo Avaddon. Inoltre, gli esperti di sicurezza sospettano che alcuni membri del gruppo Avaddon possano essere coinvolti nella nuova campagna.
NoEscape prende di mira sistemi operativi Windows, Linux e server VMware ESXi. All’avvio, il ransomware procede eliminando tutte le copie shadow dei volumi, rendendo difficile il ripristino dei backup, e terminando processi e servizi legati a database, software di sicurezza, macchine virtuali e applicazioni di backup. Durante il processo di cifratura, il ransomware esclude i file e le directory di sistema. Per garantirsi la persistenza, viene programmato un’attività pianificata per l’esecuzione all’avvio di Windows.
I cybercriminali che utilizzano NoEscape offrono tre opzioni di cifratura per i file: completa, parziale (coinvolgendo solo i primi X MB) o intermittente. Al completamento del processo di cifratura, viene modificato lo sfondo del desktop dell’utente, mostrando un file di testo con le istruzioni dettagliate su come pagare il riscatto. Mediante un “personal ID”, gli utenti possono accedere al sito Tor che visualizza l’importo del riscatto in Bitcoin. Una volta effettuato il pagamento, viene fornito il link per scaricare il decryptor e ripristinare i file.
Questa nuova incarnazione di NoEscape dimostra quanto sia importante per le aziende e gli utenti adottare misure di sicurezza proattive per proteggersi dagli attacchi ransomware sempre più sofisticati e aggressivi.
