01-1

Furto dati e credenziali: anatomia di FormBook, uno dei malware infostealer più diffuso in Italia

Furto dati e credenziali: anatomia di FormBook, uno dei malware infostealer più diffuso in Italia

Furto dati e credenziali: anatomia di FormBook, uno dei malware infostealer più diffuso in Italia
FormBook è un malware in diffusione da anni e che ha una funzionalità principale, ovvero quella di infostealer, furto informazioni e dati.

FormBook: “chi” è, che cosa fa
E’ un nome ricorrente: rimbalza in ognuno dei report che, settimanalmente, il CERT-AgiD pubblica ricostruendo e dettagliando le campagne dannose attive di settimana in settimana nel cyber spazio italiano. Parliamo di FormBook, un malware in diffusione da anni e che ha una funzionalità principale, ovvero quella di infostealer, furto informazioni e dati. E anche un cosiddetto “form grabber” quei malware pensati per rubare le informazioni che gli utenti inseriscono in form di login, di contatto e di pagamento.

E’ un malware as a service, ovvero un servizio malware online tramite il quale utenti malintenzionati possono affittare il malware e distribuirlo, gestendolo tramite la dashboard del servizio: si, proprio come fosse un servizio professionale ad abbonamento. Gli autori non vendono il malware in se, ma il suo pannello tramite il quale viene generato il file eseguibile.

Dashboard, prezzi, informazioni dal servizio FormBook. Fonte: www.fireeye.com

FormBook: dettagli tecnici
Il malware funziona per iniezione: inietta se stesso in vari processi di sistema e installa funzionalità per il log delle battiture sulla tastiera (keylogging), per il furto dei contenuti degli appunti, per estrarre dati dalle sessioni HTTP e HTTPS: comunica costantemente col proprio server di comando e controllo e riceve da esso comandi per eseguire funzionalità specifiche utili sulla macchina infetta, per avviare determinati processi, per spegnere o riavviare il sistema, per rubare cookie e password locali.

Una delle caratteristiche più interessanti di questo malware è la sua capacità di leggere il modulo di Windows ntdll.dll dal disco nella memoria e chiamarne direttamente le funzioni esportate, rendendo inefficaci il meccanismo di monitoraggio delle API e lo user-mode hooking. Una tecnica chiamata “Lagos Island method” che, stando a quando dichiarato dai suoi autori, deve il nome ad un rootkit omonimo).

E’ dotato anche di un metodo di persistenza che prevede un continuo cambio random di percorso, nome file, estensione del file e chiavi di registro usate per la persistenza stessa.

I processi di Formbook. Fonte: any.run

Formbook: le funzionalità principali
Come detto FormBook cerca di rubare dati, ma ad esempio non ha alcuna funzionalità che miri ai dati bancari: non è possibile cioè definirlo come banking malware. Le principali funzionalità sono:

keylogging;
monitoraggio degli appunti;
furto di dati dai form in HTTP / HTTPS / SPDY, HTTP2 e delle richieste di rete;
furto password dai browser e dai client email
screenshot.
Dal proprio server di comando e controllo, può ricevere ulteriori istruzioni tra le quali:

aggiornamento del bot sul sistema host;
download ed esecuzione di ulteriori file;
rimozione del bot dal sistema host;
esecuzione di comando tramite ShellExecute;
furto dei cookie del browser;
riavvio del sistema;
arresto del sistema;
download e estrazione di archivi .ZIP.
Infrastruttura e informazioni sull’installazione del malware
I domini di comando e controllo (C2) sfruttano, in genere, domini di primo livello generici e poco diffusi come .site, .website, .tech, .online, info. Nelle campagne recenti, i domini usati sono stati tutti registrati utilizzando il servizio di protezione privacy WhoisGuard. Ogni server ha, in generale, ha installazioni del pannello multiple, cosa che potrebbe indicare che FormBook si basi sul modello affiliativo.

Il malware è un file RAR autoestraente che avvia un loader Autolt. Il loader compila ed esegue lo script Autolt, che decripta il file payload di FormBook, lo carica nella memoria, quindi lo esegue. Il malware a questo punto copia sé stesso in una nuova location. Se il malware p eseguito con alti privilegi di amministrazione, si copierà in una delle seguenti directories:

%ProgramFiles%
%CommonProgramFiles%
Se invece viene eseguito con privilegi normali, copia sé stesso in una delle seguenti directories:

%USERPROFILE%
%APPDATA%
%TEMP%
FormBook configura la persistenza in una delle seguenti location, a seconda dei privilegi coi quali viene eseguito:

(HKCU|HKLM)\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
(HKCU|HKLM)\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run
Come ogni malware che si rispetti, anche FormBook è dotato di alcune accortezze per impedire a ricercatori ed analisti di “intrappolarlo” in qualche honeypot o debuggarlo, comprese ben 3 blacklist: una per i moduli, una per i processi e una per gli username.

FormBook: come viene distribuito?
Come stiamo vedendo in Italia ormai da mesi, FormBook viene distribuito tramite campagne email contenenti allegati dannosi di vario formato, ma i più comuni sono:

PDF contenente un link accorciato col servizio “tny.im”, che reindirizza ad un server che contiene il payload di FormBook;
allegati DOC e XLS, contenenti macro dannose che, se abilitate, eseguono il download del payload di FormBook;
allegati ZIP, RAR, ACE, ISO che contengono direttamente l’eseguibile di FormBook.
Stando a recenti report del CERT-AgID, Formbook è in diffusione quasi tutte le settimane da inizio 2022. Nelle più recenti analisi è stato individuato in diffusione tramite allegati XLSX sfruttando l’exploit Equation Editor (CVE-2017-11882).
Guide utili per rimanere al sicuro da attacchi malware e phishing

Attacchi basati sulle macro di Office: come funzionano? Breve vademecum
Gli allegati email più usati per infettare Windows
L’alert del CERT: in crescita il fenomeno delle campagne di phishing che cambiano i contenuti in base all’indirizzo email della vittima

Approvata-la-direttiva-NIS2_Europa-rafforza-la-cyber-security

Approvata la direttiva NIS2: l’Europa rafforza la cyber security

Approvata la direttiva NIS2: l’Europa rafforza la cyber security
da Ilaria Mugnai | Nov 22, 2022 | Sicurezza Informatica

Il Parlamento UE approva la Direttiva NIs2: nuovi obblighi in materia di sicurezza dei dati.
Il Parlamento UE approva la Direttiva NIs2: nuovi obblighi in materia di sicurezza dei dati. Grande attenzione su risposta agli incidenti, sicurezza della catena di approvvigionamento, crittografia, divulgazione delle vulnerabilità software e certificazioni dei prodotti per la cybersecurity.

In origine fu la NIS1: la Direttiva che plasmò il volto della cyber security europea
Approvata nel 2016, la Direttiva Europea 1148/2016, detta Direttiva NIS mira a favorire la più ampia diffusione di una cultura nel campo della cyber security e di un conseguente accrescimento dei relativi livelli di sicurezza informatica, anche attraverso un maggiore scambio di informazioni. Si tratta di un provvedimento con il quale, per la prima volta, è stato affrontato a livello europeo il tema della cyber security, definendo le misure necessarie a indicare il livello di sicurezza delle reti e dei sistemi informativi e, inoltre, le modalità di notifica degli incidenti subiti.

Per approfondire > LA DIRETTIVA NIS – Network and Information Security

In Italia è stata recepita con ben 4 decreti, volti a costituire e dare corpo al piano di cyber security nazionale.

Per approfondire > A Giugno debutterà (in fase di test) il perimetro di cyber sicurezza nazionale italiano

NIS 2: perchè?

La direttiva NIS 2 (Network and Information System Security) è stata approvata dal Parlamento europeo il 10 Novembre. Ricalca, negli scopi, quanto già abbozzato con la NIS1, ovvero la costruzione di una norma comune per la difesa dell’Unione Europea dalle cyber minacce. Quel che però si propone di fare è stabilire,a partire da una realtà già mutata rispetto a quella che fece da contesto alla NIS1, un percorso e degli obiettivi di lungo periodo in continuità con i principi della precedente direttiva.

D’altronde c’è stata una pandemia mondiale di mezzo, che ha portato a profondi cambiamenti nel mondo del lavoro e non solo. Il Covid19 ha prodotto, tra le altre cose, un considerevole aumento del traffico nella rete ma anche delle superifici di attacco (basti considerare la forza lavoro in smart working e in telelavoro). Insomma, la prima direttiva andava necessariamente rivista, sia per ampliare i campi di applicazione sia per preparare le aziende ad un panorama di cyber minacce profondamente evoluto in pochissimo tempo.

Non solo: per quanto la NIS1 abbia fatto fare grandi passi avanti, in fatto di cyber-resilienza, la sua applicazione è stata piuttoso disomogenea, anche perchè era previsto un ampio grado di discrezionalità agli Stati Membri. Una riarmonizzazione quindi era necessaria.

NIS 2: quali novità?

Il testo della Direttiva NIS2 è molto complesso, rendiamo in breve i punti più salienti. Ecco le novità:

gli organi le attività di supervisione comunitari sono potenziati: l’obiettivo è migliorare la collaborazione nella risposta ai cyber incidenti, mettendo in condivisione know how ed esperienze;
i requisiti minimi di sicurezza e le procedure di notifica obbligatoria degli incidenti informatici sono stati razionalizzati;
i conctetti di “gestione del rischio” e “valutazione delle vulnerabilità” sono stati estesi. Il legislatore europeo non ha potuto non prendere in considerazione i casi di attacchi supply chain ed ha deciso di estendere questi concetti a tutta la suppky chain prevedendo il coinvolgimento di tutti o della maggior parte degli stakeholder coinvolti;
sono stati rideterminati e sono stati ampliati gli ambiti di applicazione della normativa in tema di protezione e sicurezza dei dati.
I punti centrali sono comunque l’allargamento del perimetro di azione della direttiva precedente e l’individuazione di due categorie di settori di applicazione: quelli altamente critici e i settori critici. Sono quindi sottoposti alla NIS2 in quanto settori altamente critici quelli dell’energia, delle banche e dei mercati finanziari, delle infrastrutture digitali, della sanità, la Pubblica Amministrazione e spazio ecc.. Sono invece settori critici quello dei servizi postali, la gestione dei rifiuti, la produzione e distribuzione alimentare, i provider di servizi digitali, la ricerca ecc… Per far questo sono stati anche armonizzati i parametri per individuare i soggetti sottoposti agli obblighi della NIS2.

Cosa comporta la NIS2 per gli Stati Membri?

La norma prevede che ogni stato membro adotti una strategia nazionale di cyber security entro tre mesi dall’approvazione della normativa che preveda

obiettivi e priorità della strategia cyber dello Stato, soprattutto in relazione ai settori critici ed altamente critici,
una governance chiara che puntualizzi ruoli e responsabilità dei portatori di interesse a livello nazionale;
una strategia di rafforzamento del coordinamento tra le autorità competenti nazionali e quelle competenti a norma della direttiva europea;
un piano di informazione, sensibilizzazione e misure pratiche per aumentare il livello generale di consapevolezza dei cittadini in fatto di cyber security.
L’ENISA e la Commissione saranno il punto di collegamento con il punto di contatto nazionale: quest’ultimo sarà designato dalle autorità competenti e i responsabili della cybersecurity nazionale.

In dettaglio: i requisiti minimi previsti dalla NIS2

La NIS2, stabiliti i settori di applicazione, dettaglia i requisiti minimi che i soggetti sottoposti alla normativa dovranno garantire:

analisi e valutazione dei rischi dei sistemi informativi (penetration testing, vulnerability assessment ecc…);
prevedere un piano di risposta per gestire gli attacchi e garantire un’attività di monitoraggio continuativa. L’Incident Response Plan diviene nei fatti obbligatorio;
adottare un piano di Business Continuity;
testare regolarmente l’infrastruttura IT e l’efficacia delle misure di mitigazione dei rischi adottate in azienda / ente;
garantire la sicurezza della supply chain: occorrerà verificare che i fornitori dispngano di adeguati requisiti in termini di sicurezza.

ransomware_hive

Il Ransomware Hive in breve

Hive è un ransomware molto recente (1 anno), che ha colpito vittime di peso in tutto il mondo. Sono però disponibili i decryptor per le 5 versioni del ransomware.

Il Ransomware Hive in breve

Hive è una operazione ransomware piuttosto giovane: la prima individuazione risale al Giugno 2021. Ha però fatto registrare una crescita costante, fino a divenire uno dei ransomware più importanti dell'ecosistema dei Ransomare as a Service (RaaS). Ha dato anche prova, nel tempo, di essere tra le famiglie ransomware capaci di evolversi più velocemente. La nuova versione in diffusione ad esempio, porta numerosissime novità e miglioramenti. Ha anche una storia peculiare: inizialmente era scritto in GO, ma il suo autore ha poi deciso di passare a Rust, un linguaggio con una tecnologia di criptazione superiore e più difficile da sottoporre a ingegneria inversa.

In Italia ha già colpito altre volte. Nel Marzo 2022 ha colpito RFI - Rete Ferrovieria Italiana, rivendicata sul site leak del ransomware

L'attacco del ransomware Hive a RFI
Per saperne di più > Ransomware scatenati sull'Italia: colpite Ferrovie dello Stato, Confindustria e l'azienda Crich

La più recente variante di Hive: il report di Microsoft

Hive conta su cinque diverse varianti. Microsoft ha analizzato quella più recente, invididuata questa estate, e ne ha riassunto i risultati in un apposto alert.

Per approfondire > Hive ransomware gets upgrades in Rust

La nuova variante è stata individuata dai Microsoft Threat Intelligence Center nel Luglio 2022 in corso di analisi delle tecniche usate da Hive per la distribuzione dei file .key. La prima grande differenza con le precedenti versioni è il linguaggio di programmazione. L'ultima versione non è scritta in GoLang, ma in Rust. Questa novità ha portato al ransomware grandi vantaggi:

gode di una buona gamma di librerie di criptazione;
rende più complessa l'ingegneria inversa;
dispone di molteplici meccanismi di concorrenza e parallelismo, consentendo così una criptazione più rapida e sicura;
maggior controllo sulle risorse low-level;
garantisce la sicurezza della memoria, evitando molteplici bug che invece, in altri linguaggi, sono più diffusi.
Un'altra particolarità è che le credenziali necessarie per accedere al sito web di pagamento di Hive prima erano integrate nel sample. Nella nuova variante queste credenziali vanno inserite in CMD nel parametro "-u": è una misura di sicurezza che impedisce ai ricercatori di ottenerle dal sample stesso.

campagna di phishing a tema Bonus INPS
Come molti altri ransomware, ha funzionalità specifiche per arrestare processi e servizi correlati alle soluzioni di sicurezza. Hive infatti prova a impersonificare i token di processi come trustedinstaller.exe e winlogon.exe, riuscendo così a bloccare Microsoft Defender Antivirus (tra gli altri). Qualche esempio di processi interrotti dalla nuova versione di Hive?

windefend, msmpsvc, kavsvc, antivirservice, zhudongfungyu, vmm, vmwp, sql, sap, oracle, mepocs, veeam, backup, vss, msexchange, mysql, sophos, pdfservice, backupexec, gxblr, gxvss, gxclmgrs, gxvcd, gxcimgr, gxmmm, gxvsshwprov, gxfwd, sap, qbcfmonitorservice, qbidpservice, acronisagent, veeam, mvarmor, acrsch2svc ecc...

I decryptor di Hive per le versioni dalla 1 alla 5

Infine ci ha messo lo zampino "reecDeep", un ricercatore malware che ha sviluppato e pubblicato su GitHub un tool di decriptazione per l'ultima versione del ransomware, la variante 5. Proprio quella scritta in Rust.

In precedenza, invece, un'azienda sudcoreana ha reso disponibile uno strumento gratuito per la decriptazione dei file criptati dalle versioni da 1 a 4 di Hive. I decryptor sopra indicati sono stati testati e risolvono le infezioni, a seconda della versione, nella maggior parte dei casi. Se ti occorre assistenza oppure hai bisogno di una consulenza e soluzioni di sicurezza per non subire nuove infezioni, contattaci all'email alessandro@nwkcloud.com oppure visita il sito decryptolocker.it

[/et_pb_code]
Proteggersi dai ransomware: step basilari

Premettendo che la sicurezza informatica al 100% non esiste e che gli strumenti, le soluzioni e la postura difensiva variano da azienda ad azienda, da rete a rete, i punti sottostanti sono il minimo indispensabile per raggiungere un livello accettabile di sicurezza informatica.

Predisponi un piano di backup:
è fondamentale dotarsi di soluzioni di backup e di organizzarsi per eseguire backup di tutti i dati a cadenza regolare. I backup stessi andranno testati regolarmente, per verificare che i dati siano integri. Disporre di backup integri e il più recenti possibile consente di minimizzare la perdita dei dati e accelerare i processi di rispristino. E’ fondamentale isolare dalla rete i backup critici per evitare che, in caso di attacco ransomware, finiscano criptati anche i backup. A tale scopo, ti consigliamo di valutare la nostra soluzione Strongbox Cloud PRO, appositamente pensata per le PMI.
Mantieni sempre aggiornato il sistema operativo, i software e gli applicativi in uso:
le vulnerabilità sono le porte di accesso che consentono agli attaccanti di accedere alle reti. Verifica che questi software siano sempre aggiornati all’ultima versione disponibile ed installa le patch consigliate dal vendor. La suite di soluzioni di sicurezza aziendali Seqrite ha funzionalità specifiche a tale scopo: dalla gestione centralizzata delle patch alla scansione delle vulnerabilità.
Scegli una solida soluzione antivirus e mantienila sempre aggiornata:
sempre più soluzioni antivirus si sono dotate di strumenti specifici per il contrasto agli attacchi ransomware. Scopri di più sulla funzionalità antiransomware di Quick Heal / Seqrite, tecnologia brevettata negli Stati Uniti.
Adotta l’approccio zero trust:
applica il principio del “privilegio minimo” per tutti gli utenti: imposta cioè, utente per utente, solo le permissioni che gli sono effettivamente necessarie per svolgere le proprie mansioni. Fai si che ogni utente possa accedere soltanto alle informazioni che gli sono indispensabili. Per approfondire > Approccio di cybersecurity Zero Trust: perchè, come e quanto è importante per le aziende con forza lavoro remota
Evita di scaricare file o cliccare su link contenuti nelle email:
spesso l’accesso alle reti da parte degli attaccanti non avviene tramite sofisticate tecniche di attacco, ma anzi l’attaccante fa breccia nel punto più debole della catena della cyber sicurezza: l’utente. E’ fondamentale non fare click su link né scaricare allegati contenuti in email inaspettate, sospette, improvvise. Infine non abilitare mai le macro contenute nei documenti circolanti via email, a meno che non ci sia l’assoluta certezza della legittimità della comunicazione. Per Approfondire > Attacchi basati sulle macro di Office: come funzionano? Breve vademecum
Forma i dipendenti, i collaboratori e chiunque acceda alla rete:
come detto, l’anello debole della catena di cyber sicurezza e sicurezza dei dati è l’utente. Forma dipendenti e collaboratori, rendili partecipi dei protocolli di sicurezza e consapevoli e sensibili rispetto ai rischi, almeno quelli più diffusi. Stabilisci un protocollo di reazione in caso di incidente informatico, così che tutti sappiano cosa fare in caso dovesse verificarsi un attacco ransomware. Scopri i corsi di sicurezza informatica per dipendenti e collaboratori di GDPRlab!
Non esporre mai direttamente in internet le connessioni Remote Desktop Protocol. Se proprio hai necessità di usare l’RDP, fallo sempre tramite una VPN.
Implementa un modello di sicurezza stratificato (multi livello)
nella scelta di un approccio stratificato alla sicurezza, consigliamo di valutare attentamente:
> sicurezza delle reti e dei server;
> gestione degli endpoint;
> gestione dei dispositivi mobile.
Per approfondire > Implementa un modello di sicurezza stratificato con Seqrite!
Implementa sistemi di protezione preventiva:
come l’Intrusion Prevention Sistem (IPS) e il Web Application Firewall. Saranno utili protezioni perimetrali, se posti a difesa dei servizi esposti su Internet.

logHD1

YOTTA WEB - Via Don F. Cabrio 14/D - 13900 Biella (BI)

P.IVA 02552590024 - C.F. SNTSVR77S27A859C - REA BI 194613

Copyright 2017 © YOTTA WEB All Rights Reserved

Privacy Policy