Torna FTCODE: il ransomware distribuito via PEC contro utenti italiani

Torna FTCODE: il ransomware distribuito via PEC contro utenti italiani

venerdì 19 giugno 2020

L'alert dello CSIRT è di ieri pomeriggio: è stata individuata una campagna di email di spam, avviata ieri alle ore 6.30 circa tramite email PEC. Mira a utenti privati e ad alcune strutture della Pubblica Amministrazione.

Per ora pare una sola la tipologia di email in circolazione, recante come oggetto "Tribunale di Napoli Notificazione ai sensi del D.L. 179/{numeri casuali}": avverte la vittima di un fantomatico contenzioso civile, ovviamente inesistente. L'email è resa più credibile dalla presenza, nel corpo email, di nomi afferenti a personale che realmente opera presso il Tribunale di Napoli.

Fonte: https://csirt.gov.it/

La catena di infezione si avvia quando l'utente fa clic sul link in allegato per "prendere visione degli allegati che costituiscono gli atti notificati".

Il link infatti punta ad un sotto dominio chiamato "documenti" di una serie di domini compromessi, che sono stati manipolati per reindirizzare la vittima al documento dannoso: si tratta di un archivio .ZIP caricato su Dropbox e denominato "MicrosoftWord_e880c7b8fb4b7601ce0583ec5d896d5e.zip". Questo file compresso contiene in realtà uno script VBS con lo stesso nome il quale, una volta eseguito, lancia il seguente script PowerShell:

Fonte: https://csirt.gov.it/

Lo script in download è proprio il ransomware FTCode.

Per approfondire >> Rilevata nuova variante del ransomware FTCode: l'alert del Cert-PA

In realtà in nuova versione, perché presenta due funzionalità particolari:
una per il furto di credenziali da clienti di posta come ThunderBird e Outlook e dai browser Chrome, Internet Explorer e Firefox;
una per scaricare e pianificare l'avvio di un altro script VBS, attribuibile a JasperLoader (vedi paragrafo relativo), che scarica un PowerShell per contattare il server di comando e controllo riportando la corretta eseuzione dell'infezione e attendendo istruzioni per eventuali altri payload.

Altre funzionalità dannose oltre alla criptazione:
lo script VBS è una copia di quello eseguito a inizio infezione per il furto password. Viene eseguito al riavvio della macchina per garantirne la persistenza;
uno script recupera anche informazioni sui domini Windows sui quali è registrata la macchina, comprensiva di utenti e informazioni sui Domain Controller;
l'ultimo script serve a diffondere il malware via email: utilizza l'elenco di indirizzi email con relative credenziali che viene recuperato dal server di comando e controllo. Se le credenziali sono valide, lo script risponde ad ongi invio email con un messaggio preimpostato contenente il link al payload iniziale.

FTcode non ha soluzione: lo CSIRT consiglia l'implementazione degli Indicatori di Compromissione (IoC) nei sistemi di sicurezza.

Qualche accenno su JasperLoader
Questo malware, che colpisce solo gli utenti italiani, viene continuamente implementato dagli attaccanti per sfuggire alle attività di controllo intraprese dalle aziende antivirus. Gli esperti di Cisco ci dicono che "Le campagne attualmente in corso per la distribuzione di JasperLoader continuano a colpire vittime italiane e dimostrano ulteriormente che, sebbene JasperLoader sia una minaccia relativamente nuova nello spazio di distribuzione del malware, gli sviluppatori che lo gestiscono continuano a perfezionare e migliorare attivamente questo malware ad un ritmo sempre più veloce e con una sofisticazione senza precedenti nell'ambito dei malware a sfondo finanziario".

Le versioni più recenti di JasperLoader infatti, mostrano l'implementazione di strumenti volti all'elusione dei controlli dei software antivirus (ad esempio l'offuscamento del codice) e meccanismi antisandbox / antihoneypot per impedire ai ricercatori la possibilità di analizzare il codice dannoso.

JasperLoader è una backdoor che garantisce agli attaccanti l'accesso remoto ad una macchina: questo significa che, anche in caso di risoluzione di un'infezione malware, gli attaccanti conservano comunque un accesso remoto al sistema infetto. Per questo viene utilizzano nella diffusione di più malware, dal trojan Gootkit al ransomware Maze (per limitarci agli ultimi mesi).

Ad ora non esiste una soluzione per recuperare i file una volta cifrati senza pagare il riscatto, quindi dobbiamo, SEMPRE, prestare molta attenzione prima di cliccare su un link o aprire l'allegato a una mail.

01[1]

Documenti dannosi Office: Microsoft prova a bloccare i malware con una nuova funzione

Documenti dannosi Office: Microsoft prova a bloccare i malware con una nuova funzione

giovedì 25 giugno 2020

I documenti Office, ne abbiamo parlato spesso, sono tra i principali vettori di malware utilizzati dai cyber attaccanti. Da oltre venti anni, da quando cioè esiste Office, l'abitudine di nascondere malware nei documenti, sopratutto via macro, è solo cresciuta: d'altronde, nascondere i malware in questi documenti e inviarli tramite email dal contenuto ingannevole che inviti l'utente ad aprirli, resta uno dei mezzi più efficaci per i cyber attaccanti.

Per approfondire > Attacchi basati sulle macro di Office: come funzionano? Breve vademecum

Microsoft ha provato spesso a mitigare il problema in vari modi: una delle più note, ad esempio, è la Visualizzazione Protetta (o Sola lettura). Molti vi sono incappati e l'hanno trovata probabilmente fastidiosa, perchè i file così aperti non sono modificabili: in realtà questa modalità serve a proteggere la sicurezza degli utenti quando un file Office viene trasmesso e scaricato via email. Questa modalità si attiva per impedire l'abilitazione di contenuti, ad esempio le macro che sono nei fatti il veicolo, nella stragrande maggioranza dei casi, del malware stesso: con questa modalità le macro ad esempio non vengono attivate a meno che l'utente non dia indicazione contraria.

Indubbiamente questa, come altre funzionalità di protezione, hanno in parte ridotto il problema, ma gli attaccanti hanno aggirato le nuove difese, producendo tipologie diverse di malware ma, sopratutto, affinando le tecniche di ingegneria sociale per "coinvolgere" la vittima nella truffa convincendola ad abilitare volontariamente i contenuti e le macro.

Microsoft adesso ci riprova, introducendo una nuova funzione nel pacchetto Office 365. La funzione si chiama Documenti Attendibili (o Safe Documents nella versione inglese) e introduce un alto livello di controllo sulla procedura di apertura di file che hanno provenienza sospetta o difficilmente verificabile. Resta valida la protezione offerta dalla Visualizzazione protetta, che impedisce l'attivazione di exploit presenti nel documento, ma si aggiunge un nuovo passaggio: il file sospetto infatti non viene solo aperto in visualizzazione protetta, ma viene anche inviato al software di protezione Microsoft Defender Advanced Threat Protection (ATP), che procede a verificarne la pericolosità.

In dettaglio, ogni volta che si scarica un file dalla rete indipendentemente dalla fonte (app di messaggistica, browser, email ecc..) Windows aggiunge un attributo chiamato Zone.Identifier col quale indica esplicitamente l'origine di ciascun contenuto. Così, al momento in cui l'utente apre il file con la Suite Office, viene immediatamente avvisato dei rischi che potrebbe correre aprendo il documento. La verifica per "piazzare" gli attributi avviene prima che l'utente possa abbandonare la Visualizzazione protetta senza aver valutato se il documento sia o meno sicuro.

Il Microsoft Defender Advanced Threat Protection (ATP), che si occuperà di analizzare il file, è una piattaforma di sicurezza Microsoft che esegue analisi in cloud. La funzione Documenti Attendibili aumenta quindi il livello dei controlli prima dell'apertura di un documento: assieme alla protezione di un solido software antivirus con protezione email e sistema di individuazione comportamentale può offrire una protezione quasi impenetrabile.

00[1]

Gli operatori dei ransomware si nascondono nella tua rete dopo l'attacco (e ci restano)

Gli operatori dei ransomware si nascondono nella tua rete dopo l'attacco (e ci restano)

lunedì 22 giugno 2020

Quando un'azienda subisce un attacco ransomware, molte vittime pensano che l'attaccante voglia soltanto distribuire più velocemente possibile il ransomware e andarsene subito dopo per ridurre il rischio di essere scoperto. Sfortunatamente la realtà è molto diversa anzi: gli attori dietro i ransomware non sono ben disposti a rinunciare velocemente ad una risorsa per prendere il controllo della quale hanno dovuto "lavorare duramente". Gli attacchi ransomware sono, al contrario, tutt'altro che veloci: vengono preparati e condotti col tempo. Possono passare anche giorni o mesi dal momento in cui l'attaccante viola la rete a quando distribuisce il ransomware.

L'irruzione nella rete è il preludio di ogni attacco ransomware e può avvenire tramite servizi di desktop remoto esposti, vulnerabilità nei software (in particolare in questo periodo sono sotto attacco i software VPN) oppure sfruttando backdoor e accessi remoti lasciati da infezioni precedenti. Quest'ultimo caso merita due parole in più: vi sono dei malware che, una volta espletate le proprie funzioni (furto informazioni, credenziali ecc..) lasciano sulle macchine infette un accesso, molto spesso una backdoor: questi accessi, spesso non individuati per anni, restano nella rete e possono essere riutilizzati in qualsiasi momento. TrickBot, Dridex, QakBot sono tre esempi di malware che lasciano backdoor sulle macchine infette e le offrono ad altri malware (spesso dietro pagamento "del servizio").

Una volta ottenuto l'accesso sulla rete, gli attaccanti hanno a disposizione moltissimi tool per ottenere le credenziali di login e diffondersi lateralmente lungo la rete: i più popolari sono Mimikatz, PowerShell Empire e PSExec. A questo punto gli attaccanti, se le credenziali sono individuate, hanno accesso alla risorse di rete e possono mettere le mani sui file non criptati nei dispositivi di backup e nei server prima e dopo la distribuzione dell'attacco ransomware.

Qui si crea l'equivoco dovuto alla convinzione errata che gli attaccanti semplicemente scompaiano dopo l'attacco: mentre le vittime si occupano di trovare un sistema di ripristinare i file, non si occupano di verificare che effettivamente nessun terzo non autorizzato non abbia accesso alla rete. Insomma, cercano un modo per riportare in chiaro i file ma non verificano la presenza di eventuali backdoor, non modificano le credenziali di accesso, lasciano aperte le medesime porte dai quali gli attaccanti possono rientrare.

Un esempio pratico: Maze ruba i file dopo l'attacco ransomware
Maze non ha bisogno di presentazioni, ne abbiamo parlato molto (per chi volesse, qui una raccolta di articoli). Qualche giorni fa i suoi operatori hanno rivelato sul loro sito dedicato ai data leak di aver violato la rete di una filiate di ST Engineering, una importante multinazionale del settore ingegneristico e spaziale con sede a Singapore.

Tra i dati pubblicati, chissà se con voluta ironia, gli attaccanti hanno inserito i report del dipartimento IT dell'azienda conseguente all'attacco ransomware.

Fonte: bleepingcomputer.com

Parliamo quindi di un documento prodotto DOPO l'attacco ransomware, che dimostra alle vittime come gli attaccanti siano ancora attivi e presenti sulla rete, riuscendo a continuare a rubare documenti anche ad indagini in corso.

Questo è un esempio come tanti, non una novità: sono centinaia i casi raccolti da ricercatori di sicurezza in cui gli attori dei ransomware hanno dimostrato alle vittime di poter leggere ancora le email, oppure casi in cui hanno deciso di criptare il backup della vittima dopo l'attacco iniziale o con negoziati ancora in corso.

L'esperto risponde:
Alessandro Papini, esperto di cyber sicurezza e ransomware, fornisce alcuni consigli utili per affrontare i momenti conseguenti ad un attacco ransomware, oltre al mero tentativo di recupero file:

"Una volta individuato un attacco ransomware, la prima operazione da compiere dovrebbe essere quella di mettere in down la rete e tutti i computer che sono in esecuzione su essa. Questa azione è fondamentale per impedire la criptazione di ulteriori file e per negare agli attaccanti l'accesso alla rete. Dopo, deve intervenire un'azienda specializzata, così che possa effettuare una approfondita analisi di tutti i dispositivi interni e di quelli disponibili al pubblico. Le verifiche devono cercare infezioni persistenti, vulnerabilità, password deboli e qualsiasi tool dannoso possa essere stato lasciato dai cyber attaccanti col loro passaggio. Con l'accesso alla rete infatti, gli attaccanti possono disattivare velocemente le difese e distribuire ransomware o altri malware. In questi casi, il team che deve occuparsi dell' Incident Response deve lavorare tenendo a mente, vero o meno che sia, che gli attaccanti siano ancora dentro la rete. La conseguenza? Salvare nella rete, come fatto nel caso di ST Engineering, i report che contengono l'analisi dello stato della rete e le soluzioni al problema è un vero e proprio autogol: gli attaccanti possono immediatamente prendere contromisure per cercare di salvaguardare la propria presenza nella rete.

Oltre a queste analisi è utile verificare l'eventuale compromissione di tutti gli account con privilegi di amministrazione: modificarne le password è già un primo passaggio utile.

Durante l'indagine forense è utile disporre di una soluzione di business continuity (da implementare ovviamente prima dell'attacco, come misura preventiva) che consenta un canale di comunicazione e di storage separato e sicuro. Tutte queste mosse possono essere utili anche durante i negoziati con gli attaccanti, permettendo di ribilanciare il rapporto di forza vittima - attaccante".

FOTOxSITO

Intervento anelli tracheali

Il 10 giugno 2020 sono stato ricoverato d’urgenza all’Humanitas di Rozzano, le mia situazione respiratoria era compromessa per un tracheotomia prolungata dovuta al corona virus, tutti i tentativi precedenti in broncoscopia e cure di cortisone eseguite in altri ospedali con tutto l’impegno dei medici, non sono andati a buon fine, l’unica soluzione era un intervento alla trachea, rimuovendo i due anelli tracheali compromessi dalla stenosi.
L’intervento eseguito il giorno 11 è durato qualche ora, seguito da altri 5 gironi sempre nel reparto di terapia intensiva con il collo e testa fermi, dopo di che, qualche giorno in reparto normale, con esercizi per riprendere le funzionalità del collo. Il 19 giugno sono stato dimesso.
Ringrazio in modo particolare il dottor Umberto Cariboni (https://www.humanitas.it/medici/umberto-cariboni), capo sezione delle chirurgia toracica avanzata di Humanitas, che ha condotto l’intervento che mi ha permesso di tornare a respirare e mi ha seguito per tutta la mia degenza ospedaliera, mostrando professionalità e disponibilità ammirevoli.

logHD1

YOTTA WEB - Via Don F. Cabrio 14/D - 13900 Biella (BI)

P.IVA 02552590024 - C.F. SNTSVR77S27A859C - REA BI 194613

Copyright 2017 © YOTTA WEB All Rights Reserved

Privacy Policy