00[1]

Ancora novità nel mondo dei ransomware: il backup in cloud usato contro le vittime

Che il mondo dei ransomware stia cambiando è ormai un'evidenza da mesi: dal furto e pubblicazione dei dati delle vittime che non pagano il riscatto allo spostamento dell'obiettivo sulle aziende ed enti pubblici più che sugli utenti home, passando per l'ondata di attacchi mirati che ormai prosegue incessante negli Stati Uniti, i cambiamenti sono molti e i cyber attaccanti dimostrano di "sapere stare al passo coi tempi".

Il backup resta però il vero ostacolo degli sviluppatori di ransomware. Questa è indubbiamente la difesa più efficace, ma se non è correttamente configurato questo strumento può diventare un vero e proprio boomerang. E' quanto dimostra il ransomware DoppelPaymer, il cui autore, appena qualche giorno fa, ha pubblicato sul proprio sito allestito appositamente per il leak dei dati delle vittime non paganti, username e password del software di backup di una vittima che ha deciso di non cedere al ricatto.

Fonte: https://www.bleepingcomputer.com/

In questo caso, spiega Lawrance Abrams di Bleepingcomputer, queste informazioni non sono state diffuse ad altri per suggerire attacchi ulteriori, quanto per mettere in guardia la vittima rispetto al fatto che il ransomware è riuscito a fornire al proprio operatore l'accesso completo alla rete, compreso quello al backup.

Abrams ha contattato l'operatore del ransomware DoppelPaymer (che poi è lo stesso del famigerato ransomware Maze) per capire come fosse riuscito a colpire il backup della vittima. La ricostruzione si basa sul software di backup Veeam, molto diffuso negli Stati Uniti per i backup aziendali, ma potrebbe valere per qualsiasi soluzione di backup.

Come è avvenuto l'attacco
Nel corso dell'attacco, l'operatore di DoppelPaymer ha compromesso un host: ovviamente non ha specificato se tramite phishing, malware o attaccando servizi di desktop remoto esposti. Una volta ottenuto l'accesso alla macchina, ha proceduto alla diffusione laterale lungo la rete, fino ad ottenere l'accesso alle credenziali di amministrazione e al domain controller. Usando poi tool come Mimikats, ha proceduto al dump delle credenziali dall'active directory.

Abrams conferma che questo è più che sufficiente per avere accesso al software di backup dato che alcuni configurano Veeam per usare l'autenticazione Windows. Se l'account di backup in cloud è così configurato, l'attaccante può ottenere l'accesso al backup in cloud. L'operatore di DoppelPaymer non ha specificato come ha ottenuto le credenziali del backup, ma è evidente che è riuscito a farlo. I mezzi possibili sono molti: keylogger, attacchi di phishing, lettura della documentazione salvata localmente sul server di backup ecc...

Fonte: https://www.bleepingcomputer.com/

A questo punto l'attaccante ha usato le credenziali dello storage in coud per ripristinare i dati della vittima in un server sotto il controllo degli attaccanti. La vittima non ha ricevuto quindi nessun avviso, dato che i server sembravano funzionare normalmente. Indipendentemente dall'uso che potrà fare l'attaccante dei dati ottenuti tramite il backup in cloud, è certo che prima di criptare tutti i dispositivi collegati alla rete, ha provveduto alla cancellazione dei backup impedendo così il ripristino dei dati.

"I backup in cloud sono un'ottima soluzione contro i ransomware, ma non proteggono al 100%. Questo perchè molto spesso i backup non sono ben configurati, i backup offline sono spesso obsoleti e il fattore umano lascia aperte molte strade": queste sono le parole testuali dell'attaccante, inviate via email ad Abrams.

Proteggere i backup
Una corretta configurazione del backup può comunque mettere al riparo da un tipo di attacco così insidioso, dato che se un attaccante ottiene un accesso privilegiato sulla rete, tutto è a rischio. Anzitutto è utile che la distribuzione del software di backup non abbia accesso al web oppure che si trovi in una rete a gestione isolata. Inoltre è utile avere a disposizione più copie di backup disponibili su diversi supporti. E' la cosiddetta regola del 3-2-1, tre copie dei dati su due supporti diversi, una delle quali conservata "lontana" dalle altre due: il cloud è un ottimo sistema per memorizzare la terza copia di backup.

Anche proteggere la rete, come si è visto, è fondamentale: software di monitoraggio della rete, sistemi di individuazione delle intrusioni e controllo degli accessi geografico e tramite IP sono altre utili soluzioni.

00[1]

Nuova versione del trojan bancario per Android Cerberus cattura il codice one-time di Google Authenticator

Sono stati i ricercatori di sicurezza di ThreatFabric a individuare una nuova versione del temibile trojan bancario per Android Cerberus e hanno immediatamente diramato un alert per avvisare gli utenti di Android, oltre ovviamente a segnalare a Google il problema. Questo appunto perchè la nuova versione del trojan, oltre a sottrarre i dati bancari, è in grado di intercettare la cosidetta OTP (one-time passcodes) generata da Google Authenticator e usata come sistema di autenticazione a due fattori per proteggere gli account online.

Cerberus è un malware as a service (MaaS) individuato nell'Agosto del 2019: per malware as a service intendiamo quei malware messi in affitto online, acquistabili (e spesso personalizzabili) dalla rete di affiliati che spartisce i guadagni ottenuti con gli sviluppatori del malware. Sono reti estese di affiliazione, che prevedono persino supporto e aggiornamenti: una rete di criminali "professionisti".
La nuova versione, stando alle analisi di Threat Fabric che ne ha analizzato il codice, implementa funzioni simili a quelle di altri Rat (remote access trojan) per Android, consentendo all'operatore che gestisce il malware praticamente il pieno accesso al dispositivo. Il malware già implementava funzionalità di trojan bancario, ma non solo. Eccone le funzionalità principali:
eseguire screenshot;
registrare audio dal microfono del dispositivo;
registrare le digitazioni sul touch screen del dispositivo;
inviare, ricevere, cancellare SMS;
rubare la rubrica dei contatti;
inoltrare chiamate;
raccogliere informazioni dal dispositivo;
geolocalizzare e tracciare il dispositivo;
sottrarre credenziali di varie tipologie di account;
disabilitare Play Protect;
scaricare ulteriori app dannose e payload di altri malware;
rimuovere app dal dispositivo (quasi sempre soluzioni di sicurezza);
mostrare notifiche assillanti;
bloccare lo schermo del dispositivo.
La nuova funzione implementata mira precisamente al furto del codice di autenticazione a due fattori generato dall'app Google Authenticator abusando dei Privilegi di Accessibilità.

"Sfruttando i privilegi di Accessibilità. il trojan adesso può sottrarre anche i codici 2FA. Quando l'app è in esecuzione, il trojan è in grado di ottenere il contenuto dell'interfaccia e inviarlo al server C2. Indubbiamente questa funzionalità verrà usata per bypassare gli accessi sicuri a vari tipi di servizi che si basano sui codici OTP" dicono da Threat Fabric.

I ricercatori hanno anche setacciato il dark web in cerca di annunci e pubblicità di questa nuova funzionalità, che renderebbe sicuramente Cerberus molto più "ghiotto" per i cyber criminali, ma ad ora non ve n'è traccia. E' molto probabile quindi che la nuova funzionalità sia in sperimentazione nella rete degli affiliati già presenti. Il report completo è consultabile qui.

00[1]

Prima campagna di email di spam a tema Coronavirus contro utenti italiani

Prima campagna di email di spam a tema Coronavirus contro utenti italiani Il C.R.A.M di TgSoft ha individuato e analizzato quella che risulta essere, ad ora, la prima campagna di email di spam per diffusione malware a tema Coronavirus contro utenti italiani. Campagne su questa tematica si sono già viste in tutto il mondo: ovviamente i primi colpiti sono stati paesi asiatici (Cina, Giappone, Corea del sud ecc...), ma mano a mano che l'ondata di panico si è diffusa a livello globale, anche le campagne di diffusione malware hanno iniziato ad allargare il bacino delle proprie vittime.

Per approfondire >> Il Coronavirus sbarca sul web: individuate decine di campagne di phishing che sfruttano la paura del virus

Sfruttare il panico da Coronavirus è "una tecnica vincente" per gli attaccanti, un utilizzo per loro assai profittevole delle tecniche di ingegneria sociale: le vittime infatti, di fronte ad una email scritta in corretto italiano e con riferimenti precisi all'Organizzazione Mondiale della Sanità (OMS), saranno facilmente indotti anche dal clima generale a seguire le istruzioni contenute nel testo.

Il campione di email pubblicato da TGSoft è visibile sotto:

Fonte: http://www.tgsoft.it/

L'email contiene un documento Word in formato .doc che viene presentato nel testo come un vademecum dell'OMS contenente le precauzioni da adottare contro il Coronavirus dato che "nella Sua zona sono documentati casi di infezione". Il documento, che richiede l'abilitazione di una macro per poter visualizzare correttamente il contenuto, contiene in realtà un file JSE che appartiene alla famiglia dei malware Ostap: Ostap è un downloader JScript individuato per la prima volta nel 2016 ed è solitamente diffuso tramite archivi contenenti documenti Office per i quali viene richiesta l'abilitazione di una macro. Viene solitamente usato per la diffusione di malware bancari e di infostealer.

La versione individuata da TgSoft rimane attiva sul computer infetto, quindi inizia ad inviare una serie di dati esfiltrati dalla macchina verso il dominio https://45.128.134[.]14/C821al/vc2Tmy.php. Ad ora i dati esfilitrati e inviati al server C&C sono:
Nome Computer;
Nome PC;
IP in locale della macchina;
Modello della scheda di rete.
RICORDIAMO
che vi sono delle fonti ufficiali e attendibili dalle quali trarre informazioni e vademecum con le istruzioni di comportamento per la prevenzione e il controllo della diffusione del Coronavirus. Invitiamo a fare riferimento solo ed esclusivamente ai siti ufficiali dell'Organizzazione Mondiale della Sanità, del Ministero della Salute Italiano e della vostra Regione di residenza o domicilio.

logHD1

YOTTA WEB - Via Don F. Cabrio 14/D - 13900 Biella (BI)

P.IVA 02552590024 - C.F. SNTSVR77S27A859C - REA BI 194613

Copyright 2017 © YOTTA WEB All Rights Reserved

Privacy Policy