24042

La botnet Emotet aumenta la propria attività e riduce drasticamente il tasso di rilevamento

mercoledì 20 aprile 2022
La botnet Emotet aumenta la propria attività e riduce drasticamente il tasso di rilevamento

E' una vecchia conoscenza e una presenza quasi fissa nei report settimanali del CERT: Emotet non è affatto nuovo in Italia e anzi, si piazza tra i malware più distribuiti nel nostro paese. Ha avuto vicende alterne: qualche tempo fa abbiamo raccontato di come una task force internazionale ne ha preso il controllo e abbattuta l'infrastruttura. Ma Emotet è tornato, malware e botnet, più forte di prima.

Emotet in breve:
Emotet è un trojan modulare con capacità di auto propagazione. Può otteneree la persistenza sulla macchina infetta. E' usato principalmente per il furto dati, ma anche per il riconoscimento delle reti, per eseguire movimenti laterali o per fungere da dropper di ulteriori payload dannosi. In particolare molto spesso è usato come ariete per la distribuzione di Cobal Strike o di ransomware. Al malware si lega una botnet che sta cresendo costantemente.

Per saperne di più > Bad news, Emotet is back: il malware è tornato in attività e sta ricostruendo la sua botnet

I ricercatori segnalano un forte incremento della botnet Emotet
Le pessime notizie riguardo a Emotet non accennano però a diminuire, anzi. I ricercatori di sicurezza hanno denunciato una vera e propria impennata nella distribuzione del malware. C'è anche il forte sospetto che, a breve, gli attaccanti eseguiranno lo switch ad un nuovo payload che, attualmente, è rilevato da un numero veramente ridotto di soluzioni di sicurezza e motori antivirus.

Il collettivo di ricercatori di sicurezza Cryptoleaemus ha rilevato un picco nelle attività della botnet tra Febbraio e Marzo 2022: si parla di un volume di email che da 3.000 è arrivato a 30.000. La maggior parte di queste email è scritta in inglese, francese, italiano, ungherese, norvegese, polacco, russo, sloveno e cinese, che poi sono anche gli Stati dove il malware colpisce con maggior frequenza. CheckPoint non a caso riporta Emotet come la principale e più attiva minaccia malware nel Marzo 2022.
E' stato denunciato anche il fatto che Emotet faccia sempre più frequente ricorso al dirottamento delle conversazioni email: gli attaccati intercettano scambi email precedenti e inviano una email ai partecipanti. Lo scopo è quello di convicere gli utenti a scaricare un archivio ZIP e aprirlo oppure semplicemente aprire un allegato email. Dal momento che gli attaccanti hanno accesso alle conversazioni precedenti e si spacciano per uno dei partecipanti alla conversazione è molto facile che il ricevente cada nel tranello.

Una mail PEC di distribuzione di Emotet in Italia. Fonte: Onorato Informatica

Non finisce qui: il passaggio ai 64-bit
I ricercatori di Cryptoleaemus, che tengono sotto controllo l'attività di Emotet da anni, hanno anche fatto sapere che su Epoch 4 (una parte dell'infrastruttura della botnet Emotet) gli attaccanti sono passati ad usare loader e moduli infostealer a 64-bit. In precedenza tutti questi strumenti erano a 32-bit.

E' quindi in corso un test: il nuovo loader non è presente su Epoch5, altra parte dell'infrastruttura, ma come sottolineano da Cryptoleaemus il ritardo ha una spiegazione. Epoch4 è solitamente la parte dell'infrastruttra Emotet usata a fini di test per lo sviluppo (continuo, va detto) del malware. Un dato già infatti allarma: da quando il nuovo loader è in diffusione su Epoch4 il tasso di rilevamento è drasticamente sceso dal 60% al 4%.

2404

Cosa "gira" in Italia? Malware e campagne di attacco individuate dal CERT - 2° settimana Aprile

martedì 19 aprile 2022
Cosa "gira" in Italia? Malware e campagne di attacco individuate dal CERT - 2° settimana Aprile

Quali malware girano nel panorama italiano? Quali campagne di attacco? Quali sono i malware che un team di sicurezza IT dovrebbe tenere d'occhio per aggiornare gli indici di compromissione dei sistemi di sicurezza così che possano bloccare un'infezione alla fonte?

A queste domande risponde settimanalmente il CERT-AgID con un apposito report che rende una fotografia delle cyber minacce individuate e analizzate dal team di esperti del Computer Emergency Response Team italiano.

I malware della 2° settimana di Aprile
La scorsa settimana il CERT-AGID ha individuato e analizzato 52 campagne dannose attive nel cyber spazio italiano. Di queste, ben 49 sono state mirate contro obiettivi italiani: soltanto 3 invece quelle generiche ma veicolate anche nello spazio italiano.

11 sono state le famiglie malware individuate in diffusione:

Ursnif è stato individuato in diffusione in 3 campagne miorate a tema Resend e Delivery. Le email veicolavano allegati DOC e XLS. Il CERT segnala di aver scoperto una nuova tecnica di evasione di Ursnif;
AgenTesla è stato in diffusione con 3 campagne mirate contro utenti italiani: le email veicolavano allegati R11 e ZIP;
Formbook è stato diffuso con 3 campagne mirate a tema Pagamenti. Le email avevano allegati R00, ACE e XZ;
Qakbot è stato in diffusione con due campagne a tema Resend e Documenti. Le email contenevano un link che portava al download di un archivio ZIP. Al suo interno un documento XLSB;
SmsGrab è stato diffuso con due campagne mirate a tema Banking e Aggiornamenti. Il malware, pensato per i dispositivi Android, sottrae gli SMS e le invia al server C2;
Guloader torna in diffusione dopo una lunga assenza, con una sola campagna a tema pagamenti. Le email contenevano un link a Onedrive dal quale scaricare direttamente l'EXE del malware.
SMSControllo è stato veicolato con una campagna mirata contro utenti italiani via SMS. Il Malware ruba gli SMS e ha funzionalità di screen sharing;
Snake torna in diffusione con una campagna a tema Ordine: le email veicolavano allegati UUE;
sLoad è sato diffuso con una campagna mirata a tema Pagamenti. Le email contenevano archivi ZIP con VBS;
Lokibot è stato diffuso con una campagna generica, ma attiva anche nello spazio italiano, a tema Documenti. Gli allegati vettore erano file DOC.
QakBot in breve:

Specializzato in sistemi aziendali, QakBot utilizza avanzate tecniche di offuscamento per rimanere invisibile ai controlli delle soluzioni di sicurezza. Mira alle credenziali di accesso ai servizi di banking online per un semplice scopo: svuotare i conti correnti delle vittime. Oltre a questo, monitora l'attività di navigazione dai pc infetti e registra tutte le informazioni relative ai siti web di istituti bancari, di credito e finanziari.

Guloader in breve
GuLoader è un downloader utilizzato per la distribuzione di altri malware: nella maggior parte dei casi distribuisce Remote Access Trojan, come Parallax e Remcos. Scritto in Visual Basic è tra i downloader più avanzati attualmente in uso al cybercrime.

Per saperne di più > Ministero transizione ecologica: il sito di nuovo online. Si parla di attacco con il malware Ursnif

Fonte: https://cert-agid.gov.it

Le campagne di phishing della 2° settimana di Aprile
Le campagne di phishing analizzate sono state 15. Il settore bancario si conferma quello più attaccato. Tra i brand sfruttati troviamo

MPS, BNP Paribas, Intesa SanPaolo, BPER, Poste, Unicredito, Findomestic, Creedem e RelaxBanking.
Fuori dal settore bancario, alcune campagne di phishing hanno sfruttato brand come Aruba, Office 365, Zimbra. Si confermano le campagne di phishing finalizzate al furto di account email. Una campagna di phishing in italiano ha invece sfruttato i loghi ufficiali della Polizia di Stato.

Fonte: https://cert-agid.gov.it

Fonte: https://cert-agid.gov.it

Tipologia di file di attacco e vettore

Tra i file vettore più utilizzati emerge il predominio del formato archivio ZIP, che dà agli attaccanti il vantaggio del fatto che le soluzioni di sicurezza difficilmente riescono ad analizzare gli allegati compressi al loro interno. Segue il formato APK, a riconferma della pessima settimana vissuta dai dispositivi mobile (visto l'alto numero di campagne malware via SMS). Il primo file Office è al terzo posto ed è il formato DOC.

Fonte: https://cert-agid.gov.it

080420223

Anatomia di Brata, il Remote Access Trojan per Android diffuso in Italia

martedì 5 aprile 2022
Anatomia di Brata, il Remote Access Trojan per Android diffuso in Italia

E' una presenza ricorrente, anche se non fissa, dei report settimanali con cui il CERT-AGID informa degli attacchi e delle campagne malware indivudate, analizzate e contrastate nel cyber spazio italiano. Non ha il peso di un Emotet, il malware che ormai si gode fisso il posto sul gradino più alto del podio dei malware più diffusi in Italia: sicuramente Brata è tra quelli che più spesso e con più continuità sono diffusi contro i sistemi Android.

L'ultima individuazione risale appunto alla scorsa settimana: è stato in diffusione con 3 diverse campagne a meta Banking e una a tema Avvisi di Sicurezza. E' stato diffuso via SMS contenenti un link che rimandava al download in un file in formato APK.

Vediamo qualche dettaglio in più...
Brata: il trojan bancario
Brata è un malware recente, individuato per la prima volta nel 2020 ben nascosto entro una serie di applicazioni dannose che erano riuscite a superare i controlli di sicurezza del Play Store: successivamente è stato distribuito tramite attacchi mirati di ingegneria sociale. "Risultano invece recenti" si legge nell'alert del CERT "le evidenze dell’uso di BRATA in attività italiane, il malware (APK) è sempre lo stesso ma viene ricompilato con nuovi indirizzi e pubblicizzato attraverso domini di nuova registrazione"

Ad inizio 2022 è proprio il CERT a lanciare di nuovo l'allarme su questo malware:dopo un relativo periodo di silenzio, torna in diffusione nel Dicembre 2021 e lo fa con alcune nuove varianti, migliorate e corrette.

In dettaglio, i ricercatori individuano una serie di varianti del Remote Accesso Trojan Brata pensate per colpire specificatamente utenti europei di Android. Si fa, con queste varianti, largo impiego di tecniche di ingegneria sociale: fa ricorso all'uso di pagine overlay personalizzate su specifiche app bancarie. Inoltre si presenta spesso come app fake per la sicurezza o per gli aggiornamenti dello smartphone Android. In realtà ha il solo scopo di rubare le credenziali di accesso e i codici dei clienti.

Fa largo impiego della richiesta di autorizzazione ai servizi di accessibilità, una volta concesse le quali Brata inizia ad avere ampia libertà di manovra, a partire da un attento monitoraggio delle attività del dispositivo. Non solo, grazie alla capacità di ottenere ampie permissioni, gli sviluppatori vi hanno aggiunto molteplici funzionalità dannose.

Le varianti in circolazione attualmente sono tre, una delle quali, chiamata Primaria è quella diffusa in Italia. L'immagine sotto presenta le tre versioni di Brata secondo le analisi dei ricercatori di Cleafy

Fonte: Cleafy

Le funzionalità di Brata
L'installazione di Brata è solitamente anteceduta dal download del suo downloader, di solito l'app fake appunto. A questa app basta ottenere le autorizzazioni come servizio di accessibilità per avviare il download del malware stesso. L'utente autorizza l'app, che immediatmente invia una richiesta GET al server C&C per scaricare l'APK dannoso.

Una volta installato, il RAT Brata può compiere le seguenti attività dannose:

può riportare il dispositivo alle impostazioni di fabbrica;
può localizzare tramite GPS;
monitora continuamente l'app bancaria della vittima tramite VNC e funzionalità specifiche di keylogging;
può comunicare col server C&C con più canali (HTTP e TCP): riesce così a mantenere una comunicazione costante col proprio server di comando e controllo.
La prima funzionalità, quella di ripristino alle impostazioni di fabbrica, ha lasciato non poco perplessi i ricercatori. Si ritiene che il suo scopo possa essere quello di fungere da vero e proprio kill switch: una maniera cioè di cancellare le proprie tracce dal dispositivo. Che sia una funzionalità difensiva lo conferma il fatto che questa si attiva nel caso in cui il malware rilevi di essere in esecuzione in una sandbox.

Quali rischi
Lo scopo di malware come Brata è uno solo ed ovvio: rubare denaro. Per farlo però possono impiegare svariate tecniche che vanno dalle frodi, a bonifici bancari non autorizzati, ai classici pagamenti instantanei. Tutto passa attraverso una fitta rete di conti fatti per far transitare e quindi sparire il denaro (i cosiddetti "muli").

080420222

Spring4Shell - la vulnerabilità che affligge Spring mette a rischio le app aziendali: come affrontare il problema

account bancari, carte di credito e dati pegiovedì 7 aprile 2022
Spring4Shell - la vulnerabilità che affligge Spring mette a rischio le app aziendali: come affrontare il problema

Non è passato molto tempo dalla scoperta di Log4Shell, una vulnerabilità che consente l'esecuzione di codice da remoto senza necessità di autenticazione e può essere sfruttata per eseguire codice arbitrario su applicazioni e server basati su Java che eseguono la libreria Log4j.

Ora siamo di fronte all'individuazione di ben due nuove vulnerabilità che possono mettere a rischio la sicurezza di migliaia di aziende nel mondo. Entrambe 0-day, affliggono Spring uno dei più diffusi e utilizzati framework open source per scrivere applicazioni in Java. Spring è molto utilizzato perchè consente agli sviluppatori di sviluppare velocemente e facilmente applicazioni Java con funzionalità destinate al mondo enterprise.

La vulnerabilità CVE-2022-22963 nella funzione Spring Cloud
La prima vulnerabilità individuata è stata la vulnerabilità CVE-2022-22963 nella funzione Spring Cloud. In caso sfruttata correttamente, questa vulnerabilità può consentire l'esecuzione di codice remoto non autenticato nelle applicazioni ed è stata classificata di gravità media.

I ricercatori di NSFOCUS spiegano che la vulnerabilità viene attivata dal parametro "spring.cloud.function.routing-expression" e che consente agli attaccanti di accedere ai materiali lato server, di spostare account utente, di interferire con le funzionalità.

CVE-2022-22963: quali versioni riguarda?
Le versioni Spring Cloud afflitte da questa vulnerabilità sono la 3.1.6, la 3.2.2 e tutte le precedenti. Secondo i suoi sviluppatori, la migliore opzione è quella di procedere urgentemente all'aggiornamento della versione in uso adottando le versioni 3.1.7 o 3.2.3 a seconda del ramo applicativo in uso.

La vulnerabilità CVE-2022-22965 sul Core e l'exploit Spring4Shell.
Il peggio però deve ancora venire ed arriva con l'individuazione di una seconda vulnerabilità non in Spring Clud ma nel Core del Framework Spring. Anche in questo caso si parla della possibilità di esecuzione di codice non autenticato da remoto. Spring4Shell altro non è che il nome di fantasia scelto per il suo exploit, che richiama evidentemente l'altra ben nota vulnerabilità che ha scosso il mondo della cyber security aziendale, ovvero Log4Shell di Log4j.

La scoperta è stata resa nota di un account Twitter cinese che mostrava, screenshot alla mano, un proof of concept di una 0-day presente nella libreria, estremamente diffusa, Java Spring Core. I tweet sono poi stati cancellati, ma sicuramente qualcuno vi ha messo sopra le mani.

Microsoft individua una crescita esponenziale dei tentativi di sfruttare Spring4Shell
Il Microsoft Security Response Center ha fatto sapere che

"monitoriamo costantemente gli attacchi contro le nostre infrastrutture cloud e i nostri servizi per difenderli al meglio. Dal momento in cui la vulnerabilità nel Core Spring è stata annunciata, abbiamo tracciato un alto volume di tentativi di exploit nei nostri servizi cloud contro le vulnerabilità di Spring Cloud e Spring Core".

Microsoft ha quindi spiegato che gli attaccanti tentano di sfruttare la vulnerabilità Spring Cpore inviando ai server queries appositamente confezionate al fine di creare web shell nella root directory di Tomcat. E' tramite questa web shell che diviene possibile per gli attaccanti eseguire codice sul server compromesso.

Dopo la segnalazione di Microsoft, la U.S Cybersecurity and Infrastructure Security Agency (CISA) ha proceduto ad aggiungere Spring4Shell al catalogo delle vulnerabilità conosciute sfruttabili.

Dati di Check Point pubblicati appena Martedì scorso indicano che i tentativi di exploit della CVE-2022-22965 hanno già colpito almeno il 16% di tutte le aziende vulnerabili a Spring4Shell: 37.000 i tentativi di exploit individuati nel corso dello scorso fine settimana.

CVE-2022-22965: quali versioni riguarda?
La vulnerabilità è presente in Spring Core dalla v. 5.2.0 alla 5.3.17 e dalla 5.2.0 alla 5.2.19 e versioni precedenti. Questa è già stata corretta comunque, quindi sarà sufficiente procedere all'aggiornamenoto alla versione 5.2.20 o alla 5.3.18 a seconda del ramo in uso.
Non c'è quindi molto da fare se non diffondere la notizia e invitare chi utilizza il framework Spring ad aggiornare le versioni in uso.

A questo link è possibilie consultare l'alert ufficiale di Spring, contenente tra l'altro tutti i dettagli e le patchrsonali.

08042022

Ministero della transizione ecologica, SIAE, Trenitalia, Bankitalia ma anche aziende sotto attacco. Cosa sta succedendo in Italia?

venerdì 8 aprile 2022
Ministero della transizione ecologica, SIAE, Trenitalia, Bankitalia ma anche aziende sotto attacco. Cosa sta succedendo in Italia?

Abbiamo già parlato, qualche giorno fa, dell'attacco informatico subito da Trenitalia, che ha comportato giorni di disservizi e una figuraccia planetaria, quando le credenziali di accesso alla chat riservata al contatto con gli attaccanti sono finite pubblicate su Twitch (fatto per il quale l'attaccante ha raddoppiato la richiesta di riscatto e fornito nuove credenziali di accesso). E' emerso che l'attacco è stato portato da un gruppo ransomware ben noto in Italia, Hive. Fonti giornalistiche confermano che Trenitalia è ancora alle prese con la risoluzione dell'attacco: se il servizio di biglietteria è stato ripristinato nelle stazioni principali, in molte stazioni medio piccole non è ancora disponibile. Quasi in contemporanea questo attacco, ne sono avvenuti altri due: uno contro Confindustria Catania e uno contro l'azienda Crich: ne parliamo qui.

Ma le scorse settimane non sono state da meno e hanno confermato che l'Italia è sotto torchio da parte del cyber crime, in una situazione in cui regna un ossessivo timore di atti di cyber war.

Il 30 Marzo c'è stato, va detto, un falso allarme: i sistemi informatici di Sogei sono andati offline e con essi i siti del Dipartimento delle Finanze del Ministero dell'Economia e delle Finanze, dell’Agenzia delle Entrate, dell'Agenzia di Riscossione, dell'Agenzia delle Dogane e Monopoli di Stato, dell' Agenzia del Demanio, della Ragioneria dello Stato e della stessa Sogei. Anche il sito del Computer security incident response team italiano (Csirt) è stato offline alcune ore. Sono andate in blocco alcune funzionalità del Green Pass, azzerate fatture, ricette elettroniche e scommesse online. Nessun attacco in questo caso, solo la conferma della fragilità delle nostre infrastrutture: Sogei ha spiegato che il disservizio è originato da problemi elettrici occorsi nella rete di alimentazione dei data center. Molti dispositivi hanno avuto problemi a cascata.

Fonte: https://twitter.com/Sogei_SpA

Qui però finiscono i falsi allarmi e si fanno veri...
tra il 4 e il 5 Aprile comincia a diffondersi la notizia di un attacco contro la Banca d'Italia. Nessuna violazione, fortunatamente, ma l'attacco c'è stato e Banca d'Italia ha pubblicato una dichiarazione in tema.

Qualcuno avrebbe contattato telefonicamente alcuni correntisti fingendosi un'operatore della banca per rubare le informazioni necessarie ad accedere all'home banking. La truffa, dice Bankitalia, ha riguardato pochi correntisti mentre alcune somme rubate sono già state recuperate. Non sembra che vi sia stato quindi un attacco sull'infrastruttra, ma una classica truffa telefonica.

Il Mistero del sito web del MITE
Il 6 Aprile scompare il sito web del Ministero della Transizione Ecologica. In diretta radio, il Minsitro Roberto Cingolani, annunciava che “Mentre vi parlo, oltre alla sicurezza energetica, vi dico che abbiamo minacce esterne rilevate sulla rete informatica del Ministero”.

Tutti i sistemi sono stati messi offline e così restano tutt'ora. Non si sa molto altro: Cingolani ha spiegato che le strutture preposte stanno operando per riportare in sicurezza l'infrastruttura e procedere al ripristino, individuando la minaccia. L'esperto di cyber security Pierluigi Paganini ha dichiarato:

"la necessità di dover mantenere offline l’infrastruttura del Ministero è sintomatica della gravità dell’incidente occorso. Da un lato la necessità di isolare la minaccia, eradicarla evitando la propagazione ed ulteriori danni, dall’altro l’esigenza di investigare un incidente comprendendone le cause e cercando di attribuirlo ad una specifica categoria di attori, siano essi gruppi criminali che attori nation-state. Che si tratti di un ransomware, piuttosto che di un sofisticato impianto con finalità di spionaggio o sabotaggio, è necessario comprendere come abbia penetrato l’infrastruttura governativa per evitare che altre strutture italiane possano essere colpite con tecniche simili. In questa fase è anche necessario fugare il dubbio che qualche fornitore di servizi IT del MITE, così come di altri ministeri, possa essere stato compromesso. Lo spettro di un possibile attacco alla supply chain di servizi IT preoccupa noi esperti per le potenziali ricadute sulla sicurezza del sistema paese, delle infrastrutture critiche, e di uffici governativi."

Per saperne di più > Malware e tecniche di attacco:come cambiano gli strumenti dei cyber criminali contro le aziende

Roberto Baldoni, a capo dell'Agenzia per la Cybersicurezza nazionale ha dichiarato che "Dobbiamo ripristinare i sistemi nel più breve tempo possibile. È chiaro che più profondo può essere l'attacco, lo abbiamo visto anche con Ferrovie, più tempo ci si mette per cercare di ripristinare le cose senza più rischi".

Chi può essere stato? E' cyberwar?
Ad ogni nuovo attacco, in un periodo in cui effettivamente si registra un boom di cyber minacce contro l'Italia, la domanda è sempre la stessa: è cyber war? Sono stati i russi? Difficile, se non impossibile dirlo.

Nel caso di Ferrovie dello Stato la matrice di cyber war è stata esclusa: il ransomware Hive vede membri russi e bulgari e ha sempre colpito in Italia, anche prima dell'attacco russo contro l'Ucraina. La matrice pare più di criminalità comune. Anche altri gruppi ransomware in Italia stanno facendo affari d'oro da tempo: due giorni fa, sul site leak del gruppo Everest è comparsa la rivendicazione di un ennesimo attacco contro SIAE, dopo quello di qualche mese fa. Si, pare che gli attaccanti siano tornati a colpire nell'infrastruttura informatica di SIAE (o forse non se ne sono mai andati). Sono tornati alla carica e hanno specificato di essere in possesso di dati dei clienti, dati finanziari, molti passaporti, patenti, documenti di pagamento, account bancari, carte di credito e dati personali.

01042022_2

Il fattore tempo: quale ransomware cripta più velocemente i dati?

giovedì 31 marzo 2022
Il fattore tempo: quale ransomware cripta più velocemente i dati?

I ricercatori di sicurezza di Splunk hanno condotto un esperimento tecnico su dieci diverse varianti ransomware: si tratta di un vero e proprio speed test per verificare quale ransomware proceda più velocemente alla criptazione dei dati. Un problema, quello della velocità di criptazione, non da poco perchè più un ransomware è veloce a propagarsi e criptare i dati minori sono i tempi di reazione che si hanno a disposizione per intervenire, anche fosse solo per staccare le macchine.

Come funziona un ransomware in breve
I ransomware, una volta in esecuzione, per prima cosa solitamente enumerano sia i file che le directoory presenti sulla macchina compromessa. Questo è necessario per selezionare obiettivi valida da criptare. In seguito procede alla criptazione rendendo indisponibili i dati a chiunque non abbia a disposizione la corrispondente chiave di criptazione. Questa tecnica impedisce ai proprietari l'accesso ai dati. Vi sono comunque stati anche casi di ransomare che hanno prodotto la distruzione dei dati, l'interruzione delle operazioni e dei servizi e così via... tutto è finalizzato alla richiesta di un riscatto in criptovalute che la vittima deve corrispondere agli attaccanti per ricevere la chiave di decriptazione.

Si capisce quindi perchè è molto importante sapere quanto velocemente un dispositivo viene criptato, poichè più rapidamente il ransomware viene individuato, meno danni sono arrecati e, di conseguenza, si riduce il volume dei dati che devono essere ripristinati.

Il test di Splunk
I ricercatori di Splunk hanno eseguito oltre 400 test di criptazione, testando 10 diverse famiglie ransomware, più versioni della stessa famiglia e 4 diversi profili host per riflettere differenti performance.

Insomma hanno condotto un attacco ransomware simulando 4 diverse vittime, con diversi profili tra Windows 10 e Windows Server 2019. Ciascuna di queste "vittime" aveva diversi livelli di performance, simulate tenendo conto dell'ambiente di lavoro e delle reti reali di diversi clienti Splunk.

La velocità di criptazione è stata testata su oltre 98.500 files, per un totale di 53 GB circa. Son stati usati, per le rilevazioni, tool divverenti come Microsoft Sysmon, stoQ, Windows Perormance Monitor (Perfmon) ecc...

Per i più curiosi il report completo è disponibile qui

Diamo i numeri
Il tempo medio di crtiptazione per tutti e 100 i differenti campioni è stato di 42 minuti e 52 secondi. Ma questo, sottolineiamo, è un valore mediano: alcune famiglie o specifiche varianti ransowmare mostrano tempi molto molto più contenuti.

Fonte: https://www.splunk.com/en_us/pdfs/resources/whitepaper/an-empirically-comparative-analysis-of-ransomware-binaries.pdf

Qui abbiamo la prima pessima notizia per l'Italia: il ransomware più veloce nel criptare i dati è il ben noto LockBit, che riesce a criptare 53GB in 5 minuti e 50 secondi circa. Tra le varie versioni di Lockbit, quella più veloce (2.0) cripta oltre 25.000 file al minuto. Non è un caso che, nella pagina promozionale con la quale il gruppo cerca nuoviaffiliati, sia ripetuta come punto di forza del ransomware Lockbit proprio la velocità di criptazione.

Per approfondire > LockBit, il ransomware che predilige le aziende italiane, si evolve. Ora colpisce anche le macchine virtuali

Seguono poi i ransomware Babuk e Avaddon, che, per nostra fortuna, non si sono "affezionati troppo" al'Italia. Revil, BlackMatter e Darkside, divenuti famosi per essere stati tra i primi ransomware ad effettuare la doppia estorsione (1 riscatto per la chiave di decriptazione, 1 riscatto per non vedere pubblicati i file esfiltrati dalla rete prima della criptazione) si piazzano rispettivamente 4°, 5° e 6° con tempi di 14.30 minuti, 24.16 minuti, 43.03 minuti.

Di contro, tra i più lenti è possibile trovare il ransomware Conti, anche questo ben noto in Italia e il "defunto" Maze, che ad oggi non è più operativo.

Per approfondire > Una buona notizia: il ransomware Maze cessa le operazioni

Il fattore tempo è importante, ma non è l'unico e neppure il principale
Il report spiega anche che, per quanto il fattore tempo sia importante per fronteggiare un attacco ransomware, questo non è l'unica opportunità per individuare un attacco. Infatti il tempo che il malware impiega a criptare i dati non è l'unico lasso necessario agli attaccanti: un attacco ransomware si articola anche in periodi di analisi e ricognizione, di movimenti laterali, di esfiltrazione dei dati, di cancellazione delle copie shadow dei volumi, dell'escalation di privilegi ecc.. queste sono tutte attività che richiedono, anch'esse, il proprio tempo di esecuzione determinando maggiori possibilità di invididuzione dell'infezione.

Però, è proprio lo schema crittografico scelto dal ransomware che determina, alla fine della criptazione, quanto saranno durature e gestibili le conseguenze dell'attacco. Insomma, la velocità di criptazione è importante ma, ribadiscono gli esperti di Splunk, sarebbe un errore valutare la pericolosità del ransomware da questo fattore. Se infatti un ransomware veloce riduce i tempi a disposizione per reagire, la sua vera forza andrebbe misurata nella sua capacità di produrre uno schema di criptazione solido e di impedire il ripristino. In altre parole data la velocità di criptazione dei ransomware, gli esperti spiegano che una volta che un ransomware è distribuito nella rete, sarebbe irrealistico e sbagliato concentrarsi sulla mitigazione.

Ecco perchè l'attenzione delle aziende rispetto alla gestione degli attacchi ransomware dovrebbe spostarsi dalla risposta agli incidenti alla prevenzione delle infezioni. Perchè possiamo stilare le classifiche dei ransomware più veloci, ma un tempo medio di 43 minuti è una ridottissima finestra di opportunità per i team IT a difesa delle reti.

Aggiungendo poi che sono ormai molteplici i report che indicano come il tempo medio di rilevazione delle compromissioni è di 3 giorni, si capisce come divenga del tutto impossibile pensare di vincere questa corsa contro il tempo. A questo gli attacanti aggiungono un livello di difficoltà ulteriore: è ormai consuetudine quella di attaccare le reti aziendali durante le festività, i week end o il periodo estivo, quando cioè le aziende sono o ferme o non c'è la presenza del team IT.

Un ultimo suggerimento degli esperti di SPlunk è che sono invece molto utili gli strumenti di individuazione di attività sospette, ovviamente se queste avvengono prima della distribuzione del ransomware nella rete. In dettaglio sono utili il monitoraggio di attività sospette nella rete, attività insusuali negli account, l'individuzione di tool largamente impiegati durante gli attacchi come Cob al Strike, Mimikatz, Metasploit, PSExec ecc...

01042022_1

Ransomware scatenati sull'Italia: colpite Ferrovie dello Stato, Confindustria e l'azienda Crich

giovedì 24 marzo 2022
Ransomware scatenati sull'Italia: colpite Ferrovie dello Stato, Confindustria e l'azienda Crich

Giorni difficili per l'Italia, in stato di emergenza per la crisi ucraina e con la massima mobilitazione delle strutture di cyber security nazionali. Insomma un periodo di massima allerta che vede già vittime importanti, anche se non è detto che tali attacchi siano sponsorizzati da qualche stato. I due ransomware protagonisti dei nuovi attacchi contro Ferrorie dello Stato, Confindustria e Crich colpiscono infatti in Italia da tempo e con una certa contuinuità. Stiamo parlando delle famiglie ransomware Hive e Lockbit 2.0. Potrebbe quindi non esserci alcun collegamento con la crisi ucraina.

Hive attacca Ferrovie dello Stato: 10 milioni di dollari il riscatto
In questi giorni il gruppo Hive è molto attivo: è nella giornata di ieri che ha iniziato a diffondersi la notizia della presenza di segnali di un cyber attacco contro la rete informatica di Trenitalia e Rete Ferroviatia Italiana. L'azienda è stata costreta a disattivare alcune utenze del sistema di vendita, rendendo indisponibile l'acquisto dei biglietti.

L'azienda ha anche inviato un breve messaggio a tutti i dipendenti, indicando di disconnettere le VPN e spegnere i PC per i lavoratori da remoto e di disconnetere il cavo di rete e spegnere i PC per quelli in ufficio. Poche ore dopo è comparsa la rivendicazione: sul sito di leak del ransomware Hive è stato pubblicato l'annuncio dell'attacco.

Alcune fonti dicono che la presenza del gruppo Hive nella rete delle nostre ferrovie risalga già a 15 giorni fa, ma sul punto sono in corso le indagini di Trenitalia che ha pubblicato una nota nella quale psiega che

“Da stamani sulla rete informatica aziendale sono stati rilevati elementi che potrebbero ricondurre a fenomeni legati a un’infezione da cryptolocker. Sono in corso le attività di verifica sulla rete. In via precauzionale sono state disattivate alcune utenze dei sistemi di vendita fisici di Trenitalia. Pertanto non è temporaneamente possibile acquistare titoli di viaggio nelle biglietterie e self service nelle stazioni, mentre è funzionante la vendita online. Anche la prenotazione dei servizi delle Sale blu di Rfi potrebbe non avvenire con la consueta regolarità”.

Il riscatto richiesto ammontava a 5 milioni di euro da inviare in Bitcoin, ma ad ora il riscatto è già raddoppiato. Pare comunque che qualcuno stia scrivendo a nome di RFI agli attaccanti, come si può vedere dalla live chat del sito di leak.

Non è sicuro però che siano rappresentanti di RFI visto che le credenziali del backend sono trapelate su Twitch, come riporta la ben informata testata online Red Hot Cyber. Da quel momento si nota come sia evidente (dal tono e dal tipo di risposte fornite) che RFI ha perso il controllo dell'accesso del canale di comunicazione con gli attaccanti, gestito ormai da ignoti utenti.

Fonte: Red Hot Cyber

Gli attaccanti sembrano essersi risentiti della cosa e hanno raddoppiato il riscatto:
"Ringrazia quel tipo che ha pubblicato gli accessi sul suo canale. Da adesso il prezzo è di 10.000.000" si legge nella live chat.

LockBit colpisce Confindustria Caserta e Crich
Lo stesso giorno, il 23 Marzo, compare sul sito di leak del famoso ransomware Lockbit 2.0 la rivendicazione dell'attacco ai sistemi di Confindustria Caserta. L'ultimatum per il pagamento del riscatto è di sei giorni senza pubblicazione dei dati rubati: dal settimo giorno gli attaccanti minacciano la diffusione dei dati. Il countdown scade il 29 Marzo.

logHD1

YOTTA WEB - Via Don F. Cabrio 14/D - 13900 Biella (BI)

P.IVA 02552590024 - C.F. SNTSVR77S27A859C - REA BI 194613

Copyright 2017 © YOTTA WEB All Rights Reserved

Privacy Policy