Sommario
Negli ultimi mesi, il panorama delle minacce informatiche ha assistito a un’evoluzione significativa di un gruppo ransomware noto come Albabat. Secondo un’analisi pubblicata da Trend Micro, questa famiglia ransomware dimostra un elevato livello di sofisticazione, capace di colpire piattaforme diverse e di sfruttare strumenti open source come GitHub per ottimizzare e automatizzare le proprie operazioni. La capacità di estendere il proprio raggio d’azione oltre gli ambienti Windows, unita all’impiego di tecnologie cloud-native, rende Albabat una delle minacce emergenti più rilevanti nel contesto attuale della cybersecurity.
Una configurazione modulare e selettiva mirata all’efficienza dell’attacco
Tra le caratteristiche più rilevanti dell’ultima versione analizzata del ransomware Albabat emerge una configurazione altamente specifica, con esclusioni mirate su cartelle, estensioni e file per evitare l’infezione di contenuti non redditizi dal punto di vista del riscatto. L’obiettivo è chiaro: minimizzare il rischio di instabilità nel sistema infetto, massimizzando al contempo il valore dei dati cifrati.
Albabat ignora automaticamente una lunga lista di directory comunemente associate a file temporanei, di sistema o non strategici, tra cui AppData, $RECYCLE.BIN, System Volume Information, steamapps, node_modules, cache, venv, temp, e molte altre. Questa selezione punta a evitare l’encryption di contenuti che, se bloccati, non rappresenterebbero un incentivo sufficiente per il pagamento del riscatto da parte della vittima.
Allo stesso modo, l’agente ransomware è configurato per cifrare estensioni ben precise, selezionate in base alla loro criticità d’uso, come .exe, .dll, .pdb, .dat, .log, .pkg, .bk2, .arc, .lib, .inf, .mp3, .vhdx, .msi, e molte altre. Anche estensioni meno comuni ma legate a file di configurazione o media sono incluse, segno che il malware mira a colpire file di lavoro, dati personali e componenti applicativi allo stesso tempo.
La logica esclude invece file di sistema che, se compromessi, potrebbero rendere il sistema instabile o compromettere l’operatività dell’infezione stessa, tra cui ntuser.dat, Thumbs.db, iconcache.db e .DS_Store.
Terminazione automatica dei processi attivi per massimizzare l’efficacia della cifratura
Un ulteriore tratto distintivo della minaccia Albabat risiede nella sua capacità di individuare e terminare automaticamente processi in esecuzione sul sistema colpito. La lista dei processi chiusi è sorprendentemente estesa e comprende non solo utility di sistema come taskmgr.exe, regedit.exe o powershell.exe, ma anche applicazioni largamente utilizzate come Chrome, Edge, Outlook, Word, Excel, PowerPoint, Visual Studio Code, MySQL Workbench, Steam, VirtualBox e molte altre.
Questa strategia consente ad Albabat di evitare conflitti durante la fase di cifratura e aumentare le probabilità che i file vengano criptati con successo, evitando che restino bloccati da processi aperti o che vengano rilevati da antivirus e strumenti di monitoraggio in tempo reale.
Uso di GitHub e database cloud per la gestione remota delle infezioni
Una delle innovazioni più inquietanti emerse dal report Trend Micro riguarda l’infrastruttura di comando e controllo del malware. In particolare, la versione più recente del ransomware utilizza un’istanza PostgreSQL ospitata sulla piattaforma Supabase, accessibile tramite una connessione diretta a un endpoint cloud del tipo:
postgres://postgres:<username>:<password>@aws-0-us-west-1.pooler.supabase[.]com:5432/postgres
Questa struttura conferma che il gruppo Albabat si avvale di tecnologie cloud-native e servizi open source, come Supabase e GitHub, per orchestrare le proprie attività in modo decentralizzato e difficile da tracciare. La scelta di un’infrastruttura scalabile e accessibile da remoto consente agli attori malevoli di raccogliere e analizzare in tempo reale i dati raccolti dai dispositivi infetti, adattando l’attacco al contesto specifico della vittima.
È ragionevole ipotizzare che GitHub venga impiegato per il download di payload secondari o script modulari, oppure come repository per configurazioni crittografate, favorendo così una struttura ransomware-as-a-service (RaaS) in continua evoluzione. Questo rende il malware più dinamico, resiliente e complesso da bloccare attraverso tecniche convenzionali.
Verso un ransomware multipiattaforma e automatizzato
Uno degli aspetti che distinguono Albabat da molte altre famiglie ransomware è l’intento chiaro di espandere il proprio spettro d’azione oltre i limiti del sistema operativo Windows. Anche se l’analisi attuale non conferma attacchi riusciti su Linux o macOS, l’adozione di strumenti multipiattaforma e l’architettura modulare del malware lascia intuire una strategia mirata a rendere Albabat compatibile con ambienti eterogenei.
Questo approccio riflette una tendenza crescente nel cybercrime: creare codici malevoli agnostici rispetto alla piattaforma, capaci di adattarsi a container, ambienti cloud, infrastrutture DevOps e macchine virtuali. L’utilizzo combinato di tecnologie come PostgreSQL, Supabase, GitHub e una gestione remota dei payload suggerisce che Albabat stia già operando secondo modelli automatizzati di diffusione e controllo.
Considerazioni tecniche e implicazioni per la sicurezza aziendale
L’evoluzione di Albabat rappresenta una minaccia concreta non solo per i singoli utenti, ma anche per le aziende di qualsiasi dimensione. Le sue caratteristiche evidenziano un salto qualitativo verso una nuova generazione di ransomware focalizzata su efficienza, selettività e persistenza. Le organizzazioni che non dispongono di sistemi di monitoraggio proattivo, segmentazione della rete e protezioni endpoint multilivello risultano particolarmente esposte a questo tipo di attacco.
Risulta quindi essenziale aggiornare costantemente i sistemi di rilevamento comportamentale, monitorare gli accessi a database remoti e repository GitHub sospetti e limitare i privilegi amministrativi ai minimi indispensabili. L’uso di strumenti di threat intelligence per identificare indicatori di compromissione associati ad Albabat può rappresentare una difesa fondamentale per prevenire la cifratura estesa dei dati aziendali.
