venerdì 8 gennaio 2021
Anno nuovo, vecchi problemi: l'FBI lancia l'allarme mondiale per il ransomware Egregor
L'FBI ha rivolto un alert critico di sicurezza alle aziende del settore privato riguardo le operazioni del ransomware Egregor, che stanno attivamente colpendo e portando al ricatto di aziende in tutto il mondo. L'alert è contenuto in un PIN - Private Industry Notification pubblicato Mercoledì, nel quale si notifica che sono già state più di 150 le vittime di questo ransomware dal Settembre 2020 (periodo di prima osservazione ) a oggi.
"A causa dell'alto numero di attori coinvolti nella distribuzione di Egregor, le tattiche, le tecniche e le procedure usate per la sua diffusione possono variare notevolmente, determinando sfide molto significative per la difesa e la mitigazione" si legge nell'alert.
"Il ransomware Egregor usa molteplici meccanismi per compromettere le reti aziendali: attacca direttamente la rete aziendale, ma anche gli account personali di quei dipendenti che condividono l'accesso con le reti o i dispositivi aziendali".
Tra i vettori di attacco ad ora conosciuti ci sono email di phishing contenenti allegati dannosi, ma anche RDP (Remote Desktop Protocol) insicuri o VPN (Virtual Private Network) vulnerabili: con questi strumenti gli attaccanti ottengono l'accesso alle reti, ma possono anche muoversi lateralmente al loro interno, ottenendo l'accesso a tutti gli host collegati.
Per i movimenti laterali e per l'escalation dei privilegi, Egregor utilizza molti tool già ben noti e conosciuti: Cobalt Strike, il trojan Qakbot / Qbot, Advanced IP Scanner e ADFind. Inoltre è uso comune degli affiliati ad Egregor l'utilizzo di 7zip e Rclone per l'esfiltrazione dei dati prima della distribuzione del payload del ransomware nella rete bersaglio: tali tool vengono "travestiti" da processi svchost (Service Host Process).
Egregor si conferma, insomma, degno erede di Maze avendo confermato in tutti e 150 i casi per ora conosciuti (ma al solito, le vittime potrebbero essere molte di più) il meccanismo della doppia estorsione: un riscatto per ottenere la chiave privata necessari a riportare in chiaro i file criptati e un riscatto per scongiurare la pubblicazione dei file rubati e ottenere la cancellazione delle copie in mano agli attaccanti.
Per approfondire > Anatomia di Egregor, il nuovo top ransomware (che ha già colpito in Italia)
Il Raas Egregor debutta contando già sugli ex affiliati di Maze
Egregor è un RaaS, un cosiddetto Ransomware as a Service ovvero i suoi sviluppatori hanno messo il payload del ransomware in affitto nel dark web. Anzi meglio, lo hanno organizzato come un vero e proprio servizio a pagamento. La varietà di tecniche di attacco e dei vettori usati, ma anche degli strumenti, della quale si rendeva nota qualche riga fa, dipende proprio da questo: Egregor non viene distribuito "da una sola mano", ma da una rete di affiliati e partner. A differenza di altri ransomware che si sono dovuti fare un nome (e una rete) con le proprie forze, Egregor è già una minaccia di livello mondiale perché ha iniziato le proprie campagne potendo già contare sulla rete di ex affiliati e partner di Maze (per saperne di più dei legami tra Maze ed Egregor, vedi qui).
E, per quanto riguarda Egregor, non è solo il numero delle vittime a dare il quadro del livello di rischio di questa minaccia: nomi come Ubisoft, Randstad, Barnes and Noble, il servizio Metro di Vancouver, Crytek concretizzano il potenziale di questo ransomware, che non esita a colpire piccole aziende così come le grandi corporation.
La lista delle mitigazioni suggerite dall'FBI
L'alert dell'FBI contiene anche una serie di mitigazioni utili a ridurre (mai ad azzerare, purtroppo) il rischio di infezioni ad opera di questo RaaS. Ecco le principali:
eseguire il backup dei dati critici e mantenerlo OFFLINE;
eseguire ulteriori copie dei dati critici in cloud, su drive esterno o su un dispositivo di storage;
anche i backup vanno messi i sicurezza: è utile assicurarsi che questi non siano accessibili né per la modifica né per la cancellazione dal sistema in cui risiedono;
installare e mantenere regolarmente aggiornati software antivirus e antimalware su tutti gli host;
usare solo reti sicure, evitare di utilizzare rei wi-fi pubbliche;
abilitare l'autenticazione multi fattore e non fare mai click su allegati o link contenuti in email inaspettate e sospette;
dare priorità all'applicazione delle patch a tutti gli applicativi di accesso remoto rivolti al pubblico. Applicare patch e mitigazioni per le recenti vulnerabilità RDP come CVE-2020-0609, CVE-2020-0610, CVE-2020-16896, CVE-2019-1489, CVE-2019-1225, CVE-2019-1224, CVE-2019-1108;
verificare la presenza di file .bat e .dll sospetti, file contenenti dati di diagnosi (come i file .log) e tool di esfiltrazione;
configurare in maniera sicura l'RDP restringendone l'accesso, proteggendolo con autenticazione multi fattore o con password solide.
Non pagare il riscatto, non divenire complice!
L'alert dell'FBI si chiude con la solita richiesta a non pagare il riscatto. Richiesta che origina da due, diverse motivazioni: la prima è ovviamente quella di non divenire complice degli attaccanti i quali più riscatti riscuoteranno, più saranno motivati ad approntare e lanciare campagne d'attacco. Non solo: un alto tasso di successo nel riscuotere i riscatti non farà altro che determinare una continua crescita delle somme richieste. Non è un caso che, lo scorso anno, il Dipartimento del Tesoro statunitense abbia messo in guardia quelle aziende che assistono le vittime di ransomware nella contrattazione coi cyber criminali, specificando che tali azioni potrebbero violare i regolamenti dell'OFAC (Office of Foreign Assets Control del Dipartimento del Tesoro) e comportare ingenti sanzioni.
In secondo luogo, non pagare è una forma di tutela per la vittima stessa, dato che non c'è mai la certezza che, pagando, si possa ottenere la chiave di criptazione privata o un tool di decriptazione funzionante. Ma non solo: pagare il riscatto per non vedere pubblicati i dati rubati non esclude affatto che questi vengano comunque messi in vendita, anche molto tempo dopo. Ancora, pagare il riscatto non assicura affatto che gli attaccanti "leveranno le tende" dalla rete aziendale: l'uso di mantenere varie forme di accesso, backdoor comprese, alle reti già violate è piuttosto comune.
Insomma, pagare non assicura affatto la risoluzione del problema.