0[1]

ALERT: l’antivirus free per il tuo smartphone potrebbe essere un fake!

ALERT: l’antivirus free per il tuo smartphone potrebbe essere un fake!
– LUNEDÌ 16 SETTEMBRE 2019

I Quick Heal Security Labs hanno individuato molteplici false app antivirus gratuite in distribuzione sullo store ufficiale di Google, Google Play. La cosa più allarmante è che una di queste false app AV aveva già superato i 100.000 download. Queste app sono presentate come applicazioni genuine antivirus o per la rimozione di virus: tra queste Virus Cleaner, Antivirus Security ecc…

Peccato che nessuna di queste svolga realmente le funzioni per le quali sono presentate. Nel corso della nostra analisi abbiamo infatti verificato come il loro scopo principale sia in realtà mostrare annunci pubblicitari e incrementare il conteggio dei download.

La credibilità di queste app è legata al fatto che imitano le funzionalità di una vera app antivirus, senza ovviamente eseguirle davvero: ad esempio vi si trovano funzioni come “Scan device for viruses”, un sistema per ingannare l’utente della legittimità dell’AV. Dall’analisi del codice abbiamo verificato anche che nessuna di queste app è dotata di un motore antivirus o di funzionalità di scansione, fatta eccezione per un elenco predefinito di applicazioni contrassegnate come dannose o pulite. Tale elenco però è statico e non abbiamo registrato alcun aggiornamento dello stesso nel corso dell’analisi. I falsi AV mostrano poi al termine della falsa scansione, un avviso fake di rilevamento virus al solo scopo di “coprirlo” con infiniti annunci pubblicitari.

Nell’immagine sotto sono visibili alcune di queste app fake antivirus e per la rimozione dei virus.

Una piccola nota di colore, quasi imbarazzante, è che queste app individuano se stesse come applicazioni rischiose / dannose (come si vede nell’immagine sottostante)

Qualche dettaglio tecnico
Tutte le Applicazioni fake che abbiamo analizzato contengono liste di pacchetti predefiniti, come whiteList.json che altro non è che una whitelist coi nomi di vari pacchetti, e blackListPackasges.json contenente invece una blacklist di pacchetti. C’è anche un file blackListActivities.json con una blacklist di attività. E’ proprio a causa di queste liste che le applicazioni fake individuano se stesse come rischiose. La falsa scansione si basa appunto su tali liste per rendere un risultato finale di scansione.

C’è anche una lista di permissioni predefinite, usate per mostrare i rischi associati ad altre app.

L’immagine sottostante elenca tutte le false Applicazioni AV che abbiamo individuato e segnalato a Google, che ha già provveduto alla loro rimozione dal Google Play Store.

Quick Heal Total Security per Android individua con successo queste app fake come:
Android.Blacklister.A (PUP) e Android.FakeAV.E (PUP)

Qualche consiglio per evitare di installare app false:
leggi attentamente la descrizione di un applicazione prima di scaricarla;
verifica il nome dello sviluppatore dell’app e il suo sito web. Se il nome suona troppo strano o sospetto, probabilmente hai tutte le ragioni di dubitare della sua affidabilità;
scorri recensioni e il rating. Questa verifica è utile, ma tieni di conto che anche le recensioni e il rating potrebbero essere falsi;
non scaricare applicazioni da app store di terze parti;
installa sul tuo smartphone Android un antivirus le cui funzionalità e provenienza sono comprovati: ti avviseranno nel caso si provi ad installare un applicazione falsa.

1[1]

La truffa via email fa una vittima di eccellenza: rubati 37 milioni di dollari alla Toyota

Il 6 Settembre sul sito ufficiale della Toyota è comparsa una nota, questa, molto vaga ma che fa intendere a grandi linee la questione: a causa di una truffa portata avanti attraverso un account email aziendale compromesso, la Toyota ha subito il furto di 4 miliardi di Yen (circa 37 milioni di dollari).

La nota non chiarisce molto a livello tecnico, ma si può intendere che siamo in presenza di una classica truffa con la quale sono bersagliate aziende in tutto il mondo (in questo caso una filiale europea dellla Toyota): parliamo della BEC, Business Email Compromise. Alcuni ricercatori di sicurezza hanno messo in relazione l’attacco informatico subito da Toyota lo scorso Marzo, col quale gli attaccanti avevano messo le mani su molti dati aziendali e su quelli di oltre 3 milioni di clienti.

Dal caso eclatante alla realtà di tutti i giorni
Approfittiamo di questo evento particolarmente eclatante, per tratteggiare quelle che sono le caratteristiche fondamentali di questo tipo di truffa la quale, è bene ribadirlo, non colpisce solo aziende enormi e multinazionali, ma che anzi è spesso usata contro aziende medio – piccole (sicuramente meno avvezze ad affrontare tali rischi informatici).

Che le email siano vettori di svariate tipologie di truffe e infezioni malware non è una novità, anzi: gli attacchi di phishing sono all’ordine del giorno, ma le email sono anche ottimo strumento di diffusione di malware e worm di vario genere. Basta infatti un allegato o un link compromesso e un testo (prodotto secondo i criteri dell’ingegneria sociale) capace di attirare l’attenzione della vittima per convincerla ad aprire l’allegato dannoso / cliccare sul collegamento compromesso.

Da questo punto di vista i dati non mentono: il report di FireEye relativo al 2019 conferma che il phishing è ormai una delle tecniche preferite dei cyber attaccanti, sopratutto quando prendono di mira servizi popolarissimi come quelli di Microsoft, OndeDrive, Apple, PayPal, Amazon ecc… e che gli attacchi via email continuano ad aumentare costantemente di numero (e di efficacia, ahinoi).

Il report di FireEye pone tra i trend principali degli attacchi via email, l’attacco BEC e qui torniamo al nostro caso in origine, quello che riguarda la Toyota. L’attacco BEC è mirato solo ed esclusivamente alle aziende e prevede l’uso di attacchi e tecniche mirate alla singola vittima, così che i cyber attaccanti possano impersonificare alti dirigenti aziendali per disporre con l’inganno trasferimenti di denaro direttamente nelle loro tasche.

Facciamo un esempio
Esistono svariate tipologie di attacco BEC: ne esemplifichiamo uno per rendere chiaro lo schema truffaldino.

Peter lavora per una multinazionale, in dettaglio nel dipartimento finanze, il cui responsabile è il Sig. White. Un giorno Peter riceve una email urgente dal Sig.White, suo diretto superiore: nell’email, (apparentemente uguale nell’aspetto alle email aziendali ufficiali e contenente i dati reali del superiore), il Sig.White richiede i dettagli bancari dell’azienda per risolvere una questione della massima urgenza. Peter, ritenendo di intrattenere una corrispondenza email col proprio superiore, esegue la richiesta e comunica i dati richiesti. Il disastro è fatto: poco dopo una transazione di enorme valore viene eseguita dall’azienda. Non appena viene individuata tale transazione, l’azienda avvia una indagine per individuarne la responsabilità, così il Sig.White conferma di non aver mai inviato tale richiesta a Peter. Peter scopre così di aver ceduto volontariamente i dati finanziari dell’azienda ad un cyber attacante che ha impersonificato i Sig.White.

Forme meno diffuse di BEC si rivolgono all’ufficio paghe aziendale, per far modificare i dati bancari e personali di un dirigente così da trasferire la sua retribuzione su un altro conto. Oppure ancora una email apparentemente proveniente da un fornitore abituale, nella quale si comunica una variazione di IBAN, in realtà devia i pagamenti sul conto degli attaccanti.

Perché le truffe BEC sono in crescita?
Nei fatti perchè per gli attaccanti presentano notevoli vantaggi:
non contengono malware, ma si basano solo su sofisticate tecniche di ingegneria sociale. Le soluzioni antivirus quindi non individuano come compromesse o pericolose le email BEC;
superano i filtri antispam, perchè i filtri antispam stessi non riescono a distinguerle da email legittime;
sono altamente personalizzate: pre condizione necessaria affinché una BEC possa funzionare è che gli attaccanti si documentino approfonditamente sulla vittima, così da perfezionare l’impersonificazione del dirigente aziendale.

Cosa fare per individuare questo tipo di truffe?
Formare i dipendenti affinché siano a conoscenza dell’esistenza e delle caratteristiche base di questo tipo di truffa è fondamentale: presteranno maggiore attenzione all’aspetto dell’email e, qualora nutrano dubbi, effettueranno ulteriori verifiche, tra le quali, prima di tutto, una verifica diretta presso il dirigente aziendale. In caso di modifiche dell’IBAN di un fornitore, saranno spinti a effettuare una verifica telefonica, ad esempio, presso il fornitore stesso e così via.

Le truffe BEC non possono essere sconfitte da un software: in questo caso solo la consapevolezza dell’operatore e una buona dose di prudenza sono le uniche armi a disposizione delle aziende.

a[1]

Nuovo alert CERT-PA: tornano le campagne malware via PEC contro privati e professionisti

Pare non esserci pace per l’Italia, bersaglio in questo secondo semestre del 2019 di un grande numero di campagne di distribuzione malware, sopratutto banking trojan, infostealer e ransomware. Dopo l’allarme di pochi giorni fa riguardante centinaia di domini .it WordPress compromessi per diffondere il malware Gbot, il CERT-PA ha diramato ieri un nuovo alert: una vasta campagna di email di spam sta diffondendo un pericoloso malware.

Qualche dettaglio tecnico
La campagna in atto usa il canale di posta certificata PEC per diffondere il malware sLoad, contenuto in allegato entro un archivio in formato .ZIP. Lo schema è del tutto simile ad una campagna già precedentemente analizzata dal CERT-PA (che abbiamo descritto qui) e prende di mira principalmente professionisti e privati.

Fonte: https://www.cert-pa.it

L’email vettore è simile a quella pubblicata sopra e avente un oggetto e un corpo del testo che sembrano richiamare una comunicazione ufficiale dell’Agenzia delle Entrate. C’è perfino un richiamo alla legge sulla Privacy 196/2003, una diffida a divulgare il contenuti dell’email e un invito a verificare la veridicità della comunicazione direttamente presso l’Agenzia delle Entrate: parliamo di meccanismi di ingegneria sociale pensati per convincere la vittima della legittimità e veridicità della comunicazione stessa. Rispetto alle classiche email di spam poi, solitamente costellate di errori grammaticali e di sintassi, il testo è scritto in italiano corretto, fattore che può ulteriormente spingere la vittima a fidarsi dell’email appena ricevuta. Infine è da notare anche come l’email imiti perfino lo stile e i modelli di comunicazione dell’Agenzia delle Entrate. Ovviamente le comunicazioni reali dell’Agenzia differiscono sia per mittente PEC che per tipo di allegato, dato che l’Agenzia utilizza file formato .p7m, ovvero PDF con firma digitale.

L’allegato è un archivio .zip che contiene due file con lo stesso nome, ma di formati diversi: uno è un file PDF, l’altro un file .vbs.

Fonte: https://www.cert-pa.it

Se l’utente prova ad aprire il file .PDF visualizza un messaggio di errore volutamente provocato dall’attaccante, allo scopo di indurre la vittima ad aprire il secondo file, che è poi il file responsabile dell’avvio della catena di infezione.

La catena di infezione in breve:
L’apertura del file .vbs fa conseguire l’accesso ad un file .jpg su un server remoto: questo viene scaricato e salvato in locale nel percorso c:\Users\Public\Downloads. Il file si auto esegue senza interazione dell’utente e inizia l’infezione.

Il CERT-PA raccomanda di non aprire alcun allegato contenuto in email provenienti da caselle PEC di professionisti o società a vario titolo aventi in oggetto:
COMUNICAZIONE XXXXXXXXXX [ENTRATE|AGEDCXXX|REGISTRO
COMUNICAZIONI|XXXXXXX][XXXXXXXXX|XXXXXXXXX]
Un’ulteriore campagna è in corso proprio in queste ore.

sLoad: qualche info in più
sLoad è un malware che si distingue per le particolari tecniche di offuscamento del codice dannoso. Tra le prime informazioni che raccoglie subito dopo l’avvio ci sono tutte le informazioni relative alla macchina infettata (dall’architettura fino al codice UUID, un identificativo univoco universale). Subito dopo pianifica nel tempo il download del codice aggiuntivo necessario al suo funzionamento basilare e per ampliare le funzioni di cui può disporre. Tra le funzioni principali ne troviamo due:
sLoad funge da backdoor sulla macchina infetta. Può essere usato, anche a distanza di molto tempo dall’infezione, per distribuire ulteriori malware nelle macchine già colpite;
sLoad funge da keylogger, ovvero colleziona le battiture sulla tastiera e gli input che arrivano nelle macchine infette;
sLoad ha anche funzioni per il furto periodico di screenshot e di informazioni dal sistema infetto.

a[1]

Alert CERT-PA: centinaia di domini .it WordPress compromessi diffondono malware

Molti ricercatori di sicurezza hanno segnalato una campagna di compromissione di domini WordPress: gli attaccanti ottengono il controllo di domini con il famoso CMS WordPress che fanno ancora uso di versioni obsolete del plugin “apikey”.

La campagna in corso coinvolge migliaia di domini afferenti a più paesi, ma sono qualche centinaia quelli italiani compromessi, la quasi totalità di proprietà di soggetti privati. L’utente @blackorbird ha reso pubblica già agli inizi di Agosto la lista dei domini compromessi con questa campagna, aggiornata mano a mano: ad ora ammonta a circa 3200 domini. La lista completa, contenente anche i domini .it, è disponibile qui.

I domini compromessi distribuiscono sulle macchine degli ignari utenti il malware “gbot”: gbot è un malware che opera su tutte le versioni del sistema operativo Windows, con funzionalità di backdoor e keylogging. Mira principalmente al furto di credenziali.

Copia sul sistema infetto le seguenti copie di se stesso:

%Windows%\WinUpdaterstd\svchost.exe
%User Temp%\WinUpdaterstd\svchost.exe
%User Temp%\winsvchost\svchost.exe
%Application Data%\nightupdate\svchost.exe
%Windows%\nightupdate\svchost.exe

Esegue anche alcune modifiche nel registro di sistema, al fine di garantirsi la persistenza.

Correre ai ripari
La campagna è attualmente in corso e si contano nuovi domini infetti ogni giorno. Il primo consiglio è quello di aggiornare immediatamente il proprio CMS e tutti i relativi plugin. In questo caso è urgente assicurarsi che il plugin apikey sia all’ultima versione.

L’altro consiglio utile è quello di non installare estensioni al di fuori di quelle offerte ufficialmente da WordPress.

1[1]

La settimana nera degli exploit kit ci ricorda perchè è fondamentale aggiornare software e sistemi

Nell’ultima settimana, ma anche in questi giorni, sono in corso molteplici campagne di malvertising che colpiscono utenti Windows, per reindirizzarli verso exploit kit che installano trojan per il furto password, ransomware e altri malware.

Tra tante, descriviamo tre campagne individuate dal ricercatore indipendente nao_sec, nelle quali malvertising di vario tipo reindirizza gli utenti su landing page compromesse con exploit kit di vario genere. La maggior parte di queste landing page sono ospitate su siti web hackerati appositamente.

Il trojan bancario Ramnit e GrandSoft EK
Una di queste campagne vede l’exploit kit GrandSoft diffondere il trojan bancario Ramnit, dotato di moduli appositi per il furto password e delle credenziali di banking online, account FTP, account social… ma anche per il furto della cronologia del browser e per l’iniezione di script.

GrandSoft EK è un exploit kit in circolazione già da anni, ma ha mostrato un certo ritorno all’attività nell’ultimo anno. Nel 2018 tornò in attività per diffondere il famigerato ransomware GandCrab. Sfrutta una sola vulnerabilità, la CVE-2016-0189 dei motori Microsoft JScript e VBScript, utilizzati in Internet Explorer e molti altri prodotti. Questa vulnerabilità consente ai cyber attaccanti di eseguire codice arbitrario da remoto sulla macchina bersaglio o causare un DoS. E’ stata risolta già nel 2016, ma pochissimi utenti hanno installato la relativa patch, quindi è ancora profittevole per i cyber attaccanti bersagliare una vulnerabilità considerabile ormai obsoleta.

RIG EK diffonde il trojan Amadey
RIG EK adesso bersaglia la vulnerabilità CVE-2018-15982 di Flash Player e la CVE-2018-8174 di Microsoft Internet Explorer VBScript Engine. La prima è una vulnerabilità di livello critico che consente ad un attaccante remoto di aumentare i privilegi e eseguire codice arbitrario. La seconda può corrompere la memoria e consentire all’attaccante l’esecuzione di codice da remoto.

Gli utenti di Internet Explorer che dovessero incappare nella landing page vedranno il browser crashare nel momento in cui l’exploit installerà il malware.

Amadey è un trojan per il furto password e informazioni, dotato di un particolare sistema di individuazione di soluzioni antivirus sul sistema infetto: qualora riscontri antivirus in esecuzione sulla macchina bersaglio, sospende temporaneamente le attività e invia le informazioni al proprio server di comando e controllo, in attesa di istruzioni specifiche da parte dei propri sviluppatori.

Radio EK installa il ransomware Nemty
Di Nemty abbiamo parlato qualche giorno fa: è un ransowmare nuovissimo, che si sta distinguendo perchè in pochissimi giorni sta già usufruendo di molteplici supporti per la diffusione: appena tre giorni fa è stato individuato in diffusione tramite l’exploit kit RIG (per approfondire leggi qui).

La buona notizia è che l’exploit kit Radio è piuttosto semplice e sfrutta una sola vulnerabilità, la stessa dell’exploit kit GrandSoft (CVE-2016-0189) risolta nel 2016 da Microsoft.

Fonte: bleepingcomputer.com

Difendersi dagli exploit kit?
“Per funzionare, un exploit kit deve individuare sul sistema bersaglio la/le vulnerabilità per la quale porta con sé il codice necessari a sfruttarla e ottenere l’accesso all’host. Le vulnerabilità risiedono principalmente in software o sistemi operativi obsoleti, quindi la prima difesa è sicuramente quella di eseguire sempre software e sistema operativo aggiornati all’ultima versione disponibile: gli update contengono infatti i fix necessari per molteplici vulnerabilità. Sopratutto, è importante aggiornare i software che interagiscono con i browser ad esempio Adobe Flash, PDF reader ecc..” spiega Alessandro Papini, esperto di cyber sicurezza e Presidente di Accademia Italiana Privacy.

“Un altro piccolo accorgimento è quello di rimuovere i software che non sono più in uso: spesso ci dimentichiamo addirittura di avere installato certo software.. figuriamoci se ci preoccupiamo di aggiornarli. Più software in disuso ci sono, più aumenta il rischio che questi, non aggiornati, presentino vulnerabilità sfruttabili da cyber attaccanti. Disinstallarli non solo garantisce migliori prestazioni del sistema, ma riduce anche l’esposizione a vulnerabilità”.

1[1]

L’exploit kit RIG distribuisce un nuovo ransomware: il debutto di Nemty

Nemty è un nuovo ransomware, individuato in distribuzione la prima volta gli ultimi giorni di Agosto, anche se gli amministratori del malware lo hanno reso noto nei forum del cyber crime ben prima. Il nome deriva direttamente dall’estensione che questo malware aggiunge ai file una volta terminata la routine di criptazione. La novità è che questo ransomware è “convolato a nozze” con il temibile Exploit kit RIG, usato come strumento di diffusione efficace e di massa per moltissimi malware “di punta” del monto del cyber crime.

Nemty: qualche info tecnica
Come qualsiasi ransomware, anche Nemty cancella le copie shadow sul sistema così da impedire alla vittima la possibilità di recuperare le copie dei file create dal sistema operativo Windows. Cripta una varietà enorme di tipi di file, aggiungendovi poi l’estensione ._NEMTY_Lct5F3C_.

Fonte: bleepingcomputer.com

Ha una particolarità: Nemty, prima di avviare la criptazione, verifica se la macchina nella quale sta per eseguirsi si trovi in Russia, Bielorussia, Kazakistan, l’Ucraina e il Tagikistan. Ciò che risulta del tutto strano, incomprensibile, è che però tale verifica, che in molti ransomware comporta il termine dell’infezione, in questo caso non esonera l’host dalla routine di criptazione.

Fonte: bleepingcomputer.com

La nota di riscatto, almeno per il test eseguito sulla prima variante del ransomware eseguita da Bleeping Computer, contiene le informazioni per contattare i cyber attaccanti e ottenere il decryptor per rimettere in chiaro i file. Il riscatto richiesta ammonta, in questo caso, a 0.09981 Bitcoin, circa 1000 dollari USA.

Il portale di pagamento si trova sulla rete Tor, così da garantire l’anonimato: le vittime devono caricare nel portale il proprio file di configurazione. Fatto questo, l’utente viene reindirizzato su un altro sito web, dove è disponibile perfino una chat per contattare gli attaccanti, oltre ad altre informazioni per la vittima, come l’ammontare del riscatto e l’indirizzo del wallet al quale indirizzare il pagamento.

Le tecniche di diffusione: RDP, exploit KIT, siti fake
In poco meno di 20 giorni Nemty ha già mostrato di avere più canali di distribuzione. Nei primi giorni di diffusione gli operatori di Nemty hanno sfruttato connessioni RDP compromesse. Rispetto alle campagne email di phishing, che sono comunque canali di diffusione per Nemty, l’uso delle connessioni RDP consente maggiore controllo agli attaccanti: evita infatti al cyber attaccante di dover attendere che la vittima designata “abbocchi all’amo” dell’email di phishing e avvii la catena di infezione.

La scorsa settimana invece è stato distribuito tramite l’exploit kit RIG: RIG, più che essere un semplice exploit kit, è una vera e propria piattaforma usata per diffondere malware di ogni genere. E’ infatti un exploit kit in affitto, noleggiabile nel dark web. Va “nascosto” entro una pagina web: al momento in cui una vittima viene attratta, con svariate tecniche, sulla pagina compromessa, questo Exploit verifica le informazioni inviate dal computer al sito web (ad esempio sistema operativo o versione del browser” per selezionare l’exploit più efficace su quel target e installare il malware prescelto da remoto.

Infine pochissimi giorni fa, il ricercatori indipendente nao_sec ha individuato addirittura una pagina fake di PayPal, che promette di restituire all’utente il 3-5% degli acquisti effettuati tramite il sistema di pagamento di PayPal.

Il sito PayPal fake. Fonte: https://twitter.com/nao_sec

Gli indizi della natura fraudolenta della pagina sono molteplici e già la maggior parte dei browser la segnala come pericolosa, ma, come sappiamo, questo non significa che non vi saranno utenti ingannati, sopratutto perché a prima vista, la pagina ricalca almeno la grafica e le sezioni base del sito originale di PayPal. Un ulteriore livello di inganno per la vittima è dato dall’uso di tecniche di attacco omografico: parliamo di una forma particolare di spoofing nella quale l’attaccante sfrutta la somiglianza di caratteri tipografici per emulare i link originali. Un esempio banale potrebbe essere g00gle.com, dove la doppia O è sostituita con una coppia di zero. In questo caso i cyber criminali hanno usato questa tecnica per riprodurre i link alle varie sezioni del sito, secondo le sezioni originali di PayPal (Help & Contact, Fees, Apps, Security ecc…).

Il payload di Nemty è camuffato da app ufficiale di PayPal: il file è chiamato cashback.exe.

Nemty ad ora è arrivato alla versione 1.4, ma non ha subito alcuna modifica a parte correzioni di bug di funzionamento. Non esiste attualmente una modalità gratuita di decriptazione.

a+28229[1]

Il ritorno di Emotet: la botnet è di nuovo attiva

Il gruppo dietro il trojan bancario Emotet e relativa botnet è comparso nel 2014 ed è considerato uno dei più longevi del settore del cyber crimine: pur alternando periodi di forte attività a periodi di inattività totale, conta ormai più di 5 anni di vita. In questo lungo periodo Emotet si è costruito una certa fama, balzando poi agli “onori” della cronaca come uno dei “Top 10 Malware” del 2019, confermandosi come un malware estremamente pericoloso. Così pericoloso da indurre il CERT-USA a diramare uno specifico avviso di sicurezza per le aziende nel quale viene definito così:

“Emotet è un trojan bancario polimorfico capace di evadere l’individuazione basata su firma. E’ dotato di molteplici metodi per il mantenimento della persistenza, incluso l’auto avvio di servizi e chiavi di registro. Usa librerie DLL modulari per evolvere e aggiornare continuamente le proprie capacità. Inoltre è dotato di strumenti di individuazione delle macchine virtuali e può generare falsi indicatori qualora venga avviato in un ambiente virtuale”.

L’ultimo allarme dell’anno si era registrato nel Febbraio 2019, periodo nel quale fu lanciata una enorme campagna di distribuzione di una nuova versione del trojan: nuova versione che si caratterizzò per l’essere dotata di molteplici strumenti utili a evitare l’individuazione da parte dei software antivirus e antimalware.

“I server sono di nuovo attivi”
Dalla campagna del febbraio 2019 di Emotet non si sono avute più notizie: i server di comando e controllo risultavano infatti inattivi. Fino a qualche giorno fa, quando ricercatori di sicurezza indipendenti e non solo, hanno iniziato a intercettare traffico in entrata e in uscita verso i server C&C.

La lista dei server C&C di Emotet. Fonte: https://www.securityinfo.it
“La botnet quindi sta tornando lentamente in funzione ma ad ora non ci sono tracce di nuove campagne di distribuzione del malware” spiega Alessandro Papini, esperto di cyber sicurezza “Questo fatto rassicura, ma potrebbe anche indicare qualcosa di molto meno rassicurante: nulla esclude infatti il rischio che questa ripresa dell’attività dei server C&C di Emotet sia in realtà una fase preparatoria per l’avvio di un nuovo periodo di intensa attività, come Emotet ci ha abituato”.

I ricercatori di Malware Tech hanno già svolto una prima, approfondita analisi di tali server, notando come questi siano geograficamente distribuiti: sono infatti stati individuati server attivi in Brasile, Giappone, Stati Uniti, Messico, Germania ecc…

La posizione geografica di alcuni server C&C di Emotet. Fonte: https://www.securityinfo.it
Insomma, i ricercatori di sicurezza hanno già le antenne puntate sulla botnet Emotet, aspettandosi qualcosa di grosso, probabilmente il ritorno alla distribuzione di una nuova versione di Emotet stesso. La particolarità infatti è che negli ultimi mesi in cui il trojan è stato silente, l’infrastruttura di Emotet è comunque rimasta attiva, distribuendo però prima il trojan bancario TrickBot poi il ransomware Ryuk. Che si tratti quindi di un ritorno alle origini?

a[1]

Ransomware & città criptate: la “strage” texana di Agosto

Qualche tempo fa abbiamo scritto un breve articolo che ricapitolava una delle più gravi ondate di attacchi ransomware degli Stati Uniti: municipalità, istituzioni scolastiche, ospedali con parte dei servizi bloccati o sospesi per il down dei sistemi, incapaci o senza i mezzi necessari per risolvere l’infezione e quindi obbligati nella scelta di una drammatica perdita di dati da un lato o del cedimento al ricatto dall’altro. E molte vittime hanno deciso di pagare il riscatto. La situazione si presentava così grave già nel mese di Luglio, al punto da portare lo stato della Lousiana a dichiarare emergenza nazionale.

Leggi >> Ransomware & città criptate: cosa sta accadendo negli Stati Uniti?

La storia si ripete, ma in peggio
Il 16 Agosto oltre 22 enti pubblici sono finiti sotto attacco ransomware: lo ha annunciato direttamente il Governo Texano, parlando di decine di enti i cui sistemi sono finiti bloccati a causa di un attacco ransomware coordinato: protagonista il giovane, ma già famigerato, ransomware Sodinobiki.
In un primo momento i dettagli pubblicati sono stati talmente scarsi da non riuscire a comprendere “i confini” dell’attacco, poi sono emersi ulteriori dati: pare che gli attaccanti abbiano preparato accuratamente l’attacco, prendendo di mira il Managed Service Provider (MPS) al quale è affidata la gestione dei sistemi IT della pubblica amministrazione texana. Una strategia drammaticamente efficace, già sperimentata nella diffusione del ransomware Sodinokibi.

Leggi >> Sodinokibi: attacchi contro i Managed Service Provider per diffondere il ransomware

Gli MPS infatti necessitano dell’utilizzo di software di controllo remoto per i propri servizi, al fine di poter accedere e gestire/fornire supporto ad ogni singolo computer dei clienti. Se gli attaccanti riescono ad accedere a questa funzionalità, possono distribuire malware di ogni tipo con il minimo sforzo su migliaia di computer.

In questo caso, la storia si è ripetuta, ma come detto, in peggio. I cyber attaccanti hanno infatti sferrato un attacco coordinato, per mettere alle strette l’intero Stato texano. Due cittadine hanno ammesso pubblicamente il problema con propri comunicati: trattasi di Borger (13.000 abitanti) e Keene (6.000 abitanti) che si ritrovano con alcuni servizi bloccati, tra i quali l’amministrazione ordinaria e l’anagrafe. La Municipalità di Keene ha riscoperto la cartamoneta, potendo riscuotere solo pagamenti in contanti a causa del blocco del sistema finanziario della città.

In questa situazione, forti anche dei rapporti di forza e dell’ovvia consapevolezza che gli enti pubblici hanno la massima urgenza di riavviare prima possibile i propri servizi, gli attaccanti hanno mirato molto in alto: il riscatto complessivo è decisamente elevato, 2.5 milioni di dollari per lo sblocco dei sistemi.

Governo ed FBI al lavoro per risolvere il problema
Gli ultimi aggiornamenti, risalenti ad un paio di giorni fa, specificano che ancora non si è del tutto tornati alla normalità. Il Governo, fermo nella volontà di non cedere al ricatto e di non voler quindi pagare alcun riscatto, ha attivato immediatamente il DIR – Department of Information Resource – ma vi sono anche autorità federali del calibro dell’FBI che stanno prestando aiuto e consulenza per le operazioni di risposta, supporto e per le indagini. Similmente al caso Lousiana, anche il Governo texano ha dichiarato l’emergenza, nel dettaglio il “Level 2 Escalated Response”, il secondo livello più alto previsto dal protocollo statale di risposta all’emergenza (che consta di 4 fasi massimo). La situazione è difficile anche perché gli attaccanti hanno ben scelto le vittime: hanno colpito infatti anche piccolissime comunità, sprovviste dei mezzi, delle risorse umane e del budget necessari per affrontare tale livello di attacco.

Tra queste però spicca un esempio virtuoso: la Contea di Lubbock è stata parimenti colpita, ma aveva approntato dei protocolli di emergenza e risposta in caso di attacco informatico, la cui pronta esecuzione ha consentito di localizzare e isolare il ransomware prima che potesse diffondersi all’intera rete. Insomma, a Lubbock sono finiti bloccati solo alcuni singoli PC, a riprova che la prevenzione (che passa per l’implementazione non solo di strumenti antimalware, ma anche di protocolli da attuare in caso di emergenza) può rivelarsi la chiave tramite la quale è possibile mitigare gli effetti anche di un attacco ransomware devastante.

“Il protocollo è piuttosto semplice, quasi banale” ha dichiarato ai giornalisti Isaac Budu, il Direttore IT della Contea “abbiamo registrato attività sospetta proveniente da codice dannoso sui nostri sistemi. Al momento dell’individuazione dell’attività, non avevamo idea di cosa fosse e da dove provenisse tale codice. Lo staff, eseguendo il protocollo, ha immediatamente segnalato l’anomalia al dipartimento IT che, molto semplicemente, ha fatto spegnere i computer sospettati: questa banale mossa ha bloccato la diffusione del ransomware, limitando l’infezione a pochi PC mentre i sistemi (e quindi i servizi) sono rimasti operativi”.

a+28229[1]

Dentro Sodinokibi, il Top Ransomware

Di Sodinokibi abbiamo già parlato in alcune occasioni, ritenendo preoccupante la sua capacità di diffusione nonché il veloce aumento del volume del suo business illegale. Pur relativamente nuovo nella scena ransomware, Sodinokibi ha già infatti costruito una rete piuttosto estesa di affiliati, ponendosi come uno dei probabili successori del famigerato Ransomware GandCrab.

Parliamo di un ransomware che ha ottenuto riscatti di un ammontare fino a 240.000 dollari, mentre incassa in media, per una infezione di rete, circa 150.000 dollari (al punto che alcuni studi indicano in Sodinokibi e Ruyk i responsabili del lievitare delle richieste di riscatto registrato negli ultimi 4 mesi). E non si è fermato neppure ad Agosto, anzi: Sodinokibi è il ransomware che è stato usato per colpire ben 22 diverse amministrazioni locali in Texas, protagonista del più grande attacco ransomware coordinato mai lanciato contro pubbliche amministrazioni: qui la richiesta di riscatto ammonta complessivamente a 2.5 milioni di dollari.

Per approfondire >> Ransomware & città criptate: la “strage” texana di Agosto

Sodinokibi detta le regole del gioco
Scoperto in Aprile, Sodinokibi è divenuto molto prolifico in poco tempo, ottenendo buona reputazione nel mondo del cyber crime e “guadagnandosi” quindi l’attenzione della comunità dei ricercatori di sicurezza. Poco meno di un mese e mezzo dopo, gli attori dietro Sodinokibi annunciavano in un forum nel dark web di aver già guadagnato oltre 100.00 dollari: una vera e propria dimostrazione di efficacia, finalizzata a pubblicizzare un ransomware pensato per assumere la forma del RAAS (ransomware as a service), con una rete di affiliati, guadagni condivisi e persino il supporto garantito.

Tra i RaaS Sodinokibi si è imposto per le condizioni vantaggiose offerte agli affiliati: all’affiliato va il 60% di ogni riscatto, ma dalla terza transazione è previsto un ulteriore aumento del 10%. E’ comunque un tipo di RaaS particolare, “privato” viene definito dai suoi sviluppatori: infatti ad oggi le affiliazioni al ransomware sono chiuse e, inoltre, gli sviluppatori non accettano utenti di lingua inglese.

Dentro Sodinokibi
Il ricercatore di sicurezza indipendente Damian è riuscito ad accedere al pannello di controllo del rasnomware, scoprendo dati interessanti. Ad esempio ha pubblicato lo screenshot di uno dei riscatti più alti ottenuti da Sodinokibi: una vittima ha pagato 27.7 Bitcoins, pari a 220.000 dollari.

Altri screenshot pubblicati da Damian dimostrano come il ransomware sia altamente redditizio, sia per vittime che pagano piccoli importi (dai 4.000 dollari) alle vittime che, pur meno numerose, sborsano però altissimi riscatti.

Sodinokibi colpisce intere reti
alcuni affiliati di Sodinokibi sono specializzati nell’infezione di intere reti: in questo caso le vittime possono optare per l’acquisto di un solo tool di decriptazione per la decodifica di tutti gli endpoint della rete. Il costo medio di questo tool si aggira per ora intorno ai 150.000 dollari.

La connessione con GandCrab
Sodinokibi è stato individuato dai ricercatori di sicurezza dopo che era stato distribuito su alcuni server Oracle WebLogic, sfruttando una vulnerabilità critica degli stessi: poche ore dopo i cyber attaccanti installarono sugli stessi server l’ultima versione di GandCrab. Ed è stato proprio alla fine di Aprile che gli sviluppatori di GandCrab hanno annunciato la chiusura del programma di affiliazione e il termine della distribuzione del ransomware: negli stessi giorni gli sviluppatori di Sodinokibi iniziavano a ricercare affiliati per la distribuzione del nuovo ransomware. A ribadire questo legame, verosimile ma del quale non si hanno prove tangibili, c’è un altro punto: alcuni ricercatori hanno infatti indicato come i due ransomware presentino svariate somiglianze a livello di codice. Di contro altri invece puntano l’attenzione sulle differenze, che comunque sono molte e visibili.

logHD1

YOTTA WEB - Via Don F. Cabrio 14/D - 13900 Biella (BI)

P.IVA 02552590024 - C.F. SNTSVR77S27A859C - REA BI 194613

Copyright 2017 © YOTTA WEB All Rights Reserved

Privacy Policy