Pagamenti ransomware: i dati sull’attività dei ransomware indicano che il volume dei pagamenti è prossimo a battere ogni record

Pagamenti ransomware: dati preoccupanti
I dati forniti da Chainalysis, società di analisi nel settore blockchain, danno una chiara indicazione rispetto al panorama delle cyber estorsioni. Nei vari settori del cyber crimine che guadagnano tramite criptovalute, dati indicano un certo calo in tutte le categorie (truffe, malware, vendita di materiali illegale, shop fraudolenti, guadagni da vendite nel dark web ecc…). Un solo settore invece registra una forte crescita, al punto da essere in procinto di battere ogni record precedente: i ransomware.

Pagamenti ransomware: trend
Fonte: Chainalysis
“Gli attaccanti ransomware si avviano al loro secono anno “più grande” di sempre, avendo estorto oltre 449 milioni di dollari fino a Giugno 2023″

si legge nel report.

Come si vede nel grafico sottostante, l’ammontare complessivo dei guadagni ottenuti dai gruppi ransomware fino a Giugno 2023 ha già raggiunto il 90% della cifra totale di criptovalute raggiunte nel 2022.

Generazione di entrate cumulative da ransomware
Fonte: Chainalysis
2023: anno record per i ransomware?
Se il ritmo di crescita dei guadagni da ransomware si mantiene su questo livello, secondo Chainalysis quest’anno i gruppi ransomware guadagneranno circa 900 milioni di dollari dalle loro vittime, poco sotto la cifra record di 940 milioni raggiunta nel 2021.

I dati indicano comunque una tendenza specifica del mondo ransomware: gli attaccanti sono tornati a prendere di mira le grandi organizzazioni, alle quali possono essere estorte ingenti somme di denaro.

Gruppi come BlackBasta, LockBit, ALPHV/Blackcat e Clop guidano la classifica come principali destinatari di pagamenti di alta fascia. Clop ha una media di pagamento di 1.7 milioni di dollari a riscatto e una mediana di circa 1.9 milioni di dollari.

Le famiglie ransomware “più cattive”
Venendo ai dettagli, Clop ha i registrato i numeri di cui sopra grazie principalmente a due massive ondate di attacchi che hanno sfruttato 2 vulnerabilità 0-day in tool di file-transfer come GoAnywhere di Fortra e MOVEit Transfer. La sola campagna GoAnywhere ha portato a 129 attacchi circa, record del Marzo 2023. La campagna MoveIT ha invece portato a quasi 300 vittime.

Vanno comunque nominate famiglie ransomware di “bassa fascia”. Dharma, Phobos, STOP / DJVU registrano una forte crescita dei guadagni, ma in questo caso si parla di famiglie ransomware che ricattano le vittime per poche centinaia di dollari. Questi ransomware, più che a poche vittime di alta fascia, mirano al numero, ovvero a fare il più ampio numero di vittime possibili.

Fonte: Bleeping Computer
Proteggersi dai ransomware: step basilari
Premettendo che la sicurezza informatica al 100% non esiste e che gli strumenti, le soluzioni e la postura difensiva variano da azienda ad azienda, da rete a rete, i punti sottostanti sono il minimo indispensabile per raggiungere un livello accettabile di sicurezza informatica.

Predisponi un piano di backup:
è fondamentale dotarsi di soluzioni di backup e di organizzarsi per eseguire backup di tutti i dati a cadenza regolare. I backup stessi andranno testati regolarmente, per verificare che i dati siano integri. Disporre di backup integri e il più recenti possibile consente di minimizzare la perdita dei dati e accelerare i processi di rispristino. E’ fondamentale isolare dalla rete i backup critici per evitare che, in caso di attacco ransomware, finiscano criptati anche i backup. A tale scopo, ti consigliamo di valutare la nostra soluzione Strongbox Cloud PRO, appositamente pensata per le PMI.
Mantieni sempre aggiornato il sistema operativo, i software e gli applicativi in uso:
le vulnerabilità sono le porte di accesso che consentono agli attaccanti di accedere alle reti. Verifica che questi software siano sempre aggiornati all’ultima versione disponibile ed installa le patch consigliate dal vendor. La suite di soluzioni di sicurezza aziendali Seqrite ha funzionalità specifiche a tale scopo: dalla gestione centralizzata delle patch alla scansione delle vulnerabilità.
Scegli una solida soluzione antivirus e mantienila sempre aggiornata:
sempre più soluzioni antivirus si sono dotate di strumenti specifici per il contrasto agli attacchi ransomware. Scopri di più sulla funzionalità antiransomware di Quick Heal / Seqrite, tecnologia brevettata negli Stati Uniti.
Adotta l’approccio zero trust:
applica il principio del “privilegio minimo” per tutti gli utenti: imposta cioè, utente per utente, solo le permissioni che gli sono effettivamente necessarie per svolgere le proprie mansioni. Fai si che ogni utente possa accedere soltanto alle informazioni che gli sono indispensabili.
Per approfondire > Approccio di cybersecurity Zero Trust: perchè, come e quanto è importante per le aziende con forza lavoro remota
Evita di scaricare file o cliccare su link contenuti nelle email:
spesso l’accesso alle reti da parte degli attaccanti non avviene tramite sofisticate tecniche di attacco, ma anzi l’attaccante fa breccia nel punto più debole della catena della cyber sicurezza: l’utente. E’ fondamentale non fare click su link né scaricare allegati contenuti in email inaspettate, sospette, improvvise. Infine non abilitare mai le macro contenute nei documenti circolanti via email, a meno che non ci sia l’assoluta certezza della legittimità della comunicazione.
Per Approfondire > Attacchi basati sulle macro di Office: come funzionano? Breve vademecum
Forma i dipendenti, i collaboratori e chiunque acceda alla rete:
come detto, l’anello debole della catena di cyber sicurezza e sicurezza dei dati è l’utente. Forma dipendenti e collaboratori, rendili partecipi dei protocolli di sicurezza e consapevoli e sensibili rispetto ai rischi, almeno quelli più diffusi. Stabilisci un protocollo di reazione in caso di incidente informatico, così che tutti sappiano cosa fare in caso dovesse verificarsi un attacco ransomware.
Non esporre mai direttamente in internet le connessioni Remote Desktop Protocol. Se proprio hai necessità di usare l’RDP, fallo sempre tramite una VPN.
Implementa un modello di sicurezza stratificato (multi livello)
nella scelta di un approccio stratificato alla sicurezza, consigliamo di valutare attentamente:
> sicurezza delle reti e dei server;
> gestione degli endpoint;
> gestione dei dispositivi mobile.
Per approfondire > Implementa un modello di sicurezza stratificato con Seqrite!
Implementa sistemi di protezione preventiva:
come l’Intrusion Prevention Sistem (IPS) e il Web Application Firewall. Saranno utili protezioni perimetrali, se posti a difesa dei servizi esposti su Internet.
Adotta un SOC – Security Operation Center:
un SOC è un vero e proprio centro operativo dedicato alla sicurezza informatica il cui scopo, nel complesso, è monitorare costantemente la rete aziendale in cerca di attività anomale o sospette.
Per approfondire > SOC – Security Operation Center: che cosa, perché, come

Vidar Malware in circolazione in Italia. Il CERT ha individuato una campagna di diffusione nel mese di Luglio. Cosa sappiamo di questo malware

Vidar in breve
Vidar è un malware infostealer individuato per la prima volta nel tardo 2018. Le prime analisi del codice hanno portato i ricercatori a indicarlo come una derivazione di Arkei, un altro malware infostealer che si differenzia in alcune parti del codice e nelle comunicazioni C&C. Il nome, Vidar, deriva proprio da una stringa rinvenuta dai ricercatori nel codice del malware.

Vidar malware principalmente mira al furto della cronologia del browser, dei cookie, delle credenziali, dei wallet di criptovaluta e dei dati dai software 2FA. Organizzato sul modello del malware as a service (MaaS), conta su una rete di affiliati che pagano tra i 130 e i 750 dollari di “abbonamento”.

Viene diffusi tramite campagne email dannose e di spam, ma anche tramite software craccati.

Per saperne di più > Cosa “gira” in Italia? Malware e campagne di attacco: report CERT 01-07 Luglio

Andiamo in dettaglio: l’evoluzione dell’infrastruttura
Nel tempo il gruppo che gestisce Vidar ha modificato l’infrastruttura di backend, probabilmente nel tentativo di riorganizzarsi e nascondere il più possibile il modus operandi più volte reso pubblico online.

“gli attori dietro Vidar continuano a ruotare la propria infrastruttura IP di backend”

hanno dichiarato i ricercatori di sicurezza di Team Cymru.

L’infrastruttura è stata divisa in due parti, una dedicata ai clienti regolari e l’altra per il team di gestione del malware, ma anche per gli utenti premium.

Vidar usa un dominio pubblico e un host, situato in Russia o Bielorussia, per gestire il malware. Le attività vengono poi dirette entro un sistema che sfrutta una VPN.

Se, fino a poco tempo fa, era possibile scaricare il malware senza alcuna autenticazione, tentare la stessa azione ad oggi reindirizza ad una pagina di login per gli utenti. Anche l’IP del dominio è spesso aggiornato.

Gli aggiornamenti del payload
A partire dall’inizio del 2023 il gruppo dietro Vidar ha rilasciato ben tre diverse versioni aggiornate del malware, tutte con nuove funzionalità aggiunte. Ad esempio, la v. 1.8 ha introdotto una funzionalità di “form-grabbing” mirata a rubare i dati dal borwser Opera Crypto.

Vidar prende di mira i dati contenuti in Opera Crypto. Fonte: https://www.team-cymru.com
Andiamo in dettaglio: il furto dei dati
Come detto, la funzione principale di Vidar è il furto dei dati. Ecco, nella tabella sotto, i software presi di mira

Quali software prende di mira Vidar
Fonte: https://medium.com
Una volta raccolti tutti i dati, li comprime in un file ZIP nella cartella “\files”. Quindi questo file ZIP contenente i dati rubati viene inviato al server C&C, insieme all’ID del dispositivo infetto e la versione di Vidar in uso.

Per concludere, va detto che Vidar ha implementato anche una funzione di downloader, così da poter scaricare ulteriori malware dopo il furto delle informazioni. Quindi Vidar si cancella dal sistema praticamente senza lasciare tracce.

Guide utili per rimanere al sicuro da attacchi malware e phishing
Attacchi basati sulle macro di Office: come funzionano? Breve vademecum
Gli allegati email più usati per infettare Windows
L’alert del CERT: in crescita il fenomeno delle campagne di phishing che cambiano i contenuti in base all’indirizzo email della vittima
SOC – Security Operation Center: che cosa, perché, come

Il ransomware Lockbit miete nuove vittime in Italia: colpita l’azienda Blowtherm. Pubblicazione dei dati il 17 Luglio

Il ransomware Lockbit di nuovo in Italia
Qualche giorno fa, sul leak site di Lockbit, è comparsa la rivendicazione di un nuovo attacco contro un’azienda italiana. Gli attaccanti rivendicano di aver esfiltrato e criptato i dati della Blowtherm, un’azienda nel padovano specializzata in cabine di verniciatura, Air tech e Riscaldamento.

Per quanto ricostruibile dalla stampa locale, l’attacco è iniziato nel fine settimana tra il 17 e il 18 Giugno ed è stato scoperto casualmente dai dipendenti che, solitamente, il sabato non lavorano. I dipendenti si sono cioè resi conto che il sistema IT non era più in funzione e, di conseguenza, le postazioni PC e le linee dei macchinari erano inutilizzabili.

“I tecnici stanno lavorando per capire l’entità dei danni e ripristinare la situazione nel minor tempo possibile: abbiamo dovuto lasciare a casa alcuni dipendenti che non avrebbero potuto lavorare alle loro postazioni. Da noi è tutto in rete e lavoriamo con sistemi di progettazioni collegati tra loro e di un certo livello, quindi proseguire è complicato”

ha dichiarato il proprietario dell’azienda, Francesco Peghin.

Fonte: leak site LockBit 3.0
Che cosa sappiamo per adesso
Ribadendo che non c’è un comunicato ufficiale dell’azienda sull’accaduto, al momento le uniche informazioni disponibili sono quelle pubblicate dagli attaccanti. Nel post di rivendicazione, gli attaccanti fissano la pubblicazione dei dati rubati per il 17 Luglio e chiedono 140.000 dollari per distruggere i dati aziendali in loro possesso, 140.000 per poter scaricare i dati e 1000 dollari al giorno per estendere il countdown.

Al post sono allegati alcuni sample di dati rubati: screenshot, PDF e immagini per testimoniare l’effettiva riuscita dell’attacco.

I dati esfiltrati dal ransomware Lockbit
I dati esfiltrati dal ransomware Lockbit
I dati esfiltrati dal ransomware Lockbit
I dati esfiltrati dal ransomware Lockbit
Fonte: leak site LockBit 3.0
Tra i dati resi disponibili ci sono anche molti documenti di identità, sia patenti che carte di identità e moltissima documentazione aziendale esfiltrata dall’infrastruttura IT.

Per approfondire > Ransomware: Lockbit la catena di attacco e le attività anti-forensi

I danni
In un’intervista sui quotidiani locali, il proprietario della Blowtherm ha spiegato come, i primi giorni, l’evento sembrasse completamente catastrofico: i dati sembravano completamente persi.

«[…] abbiamo subito attivato la macchina dei controlli e siamo riusciti ad attenuare i danni. Nei primi giorni abbiamo pensato ad una catastrofe, visto che sembrava fosse sparito praticamente tutto. Poi i tecnici, un po’ alla volta, sono riusciti a recuperare, ma per una settimana siamo stati praticamente fermi e solo da lunedì abbiamo ripreso gradualmente i regimi di lavoro. Parliamo di danni di decine e decine di migliaia di euro, ma paradossalmente poteva andare molto peggio».

I malfunzionamenti del sistema IT si sono protratti per circa una settimana. In questo periodo l’azienda ha dovuto sospendere la produzione di alcune aree produttivie e lasciare a casa i dipendenti, mentre altre aree hanno portato avanti la produzione tornando a “carta, penna e lavoro manuale”.

L’azienda ha comunque deciso di non pagare il riscatto ed ha allertato le autorità.

Proteggersi dai ransomware: step basilari
Premettendo che la sicurezza informatica al 100% non esiste e che gli strumenti, le soluzioni e la postura difensiva variano da azienda ad azienda, da rete a rete, i punti sottostanti sono il minimo indispensabile per raggiungere un livello accettabile di sicurezza informatica.

Predisponi un piano di backup:
è fondamentale dotarsi di soluzioni di backup e di organizzarsi per eseguire backup di tutti i dati a cadenza regolare. I backup stessi andranno testati regolarmente, per verificare che i dati siano integri. Disporre di backup integri e il più recenti possibile consente di minimizzare la perdita dei dati e accelerare i processi di rispristino. E’ fondamentale isolare dalla rete i backup critici per evitare che, in caso di attacco ransomware, finiscano criptati anche i backup. A tale scopo, ti consigliamo di valutare la nostra soluzione Strongbox Cloud PRO, appositamente pensata per le PMI.
Mantieni sempre aggiornato il sistema operativo, i software e gli applicativi in uso:
le vulnerabilità sono le porte di accesso che consentono agli attaccanti di accedere alle reti. Verifica che questi software siano sempre aggiornati all’ultima versione disponibile ed installa le patch consigliate dal vendor. La suite di soluzioni di sicurezza aziendali Seqrite ha funzionalità specifiche a tale scopo: dalla gestione centralizzata delle patch alla scansione delle vulnerabilità.
Scegli una solida soluzione antivirus e mantienila sempre aggiornata:
sempre più soluzioni antivirus si sono dotate di strumenti specifici per il contrasto agli attacchi ransomware. Scopri di più sulla funzionalità antiransomware di Quick Heal / Seqrite, tecnologia brevettata negli Stati Uniti.
Adotta l’approccio zero trust:
applica il principio del “privilegio minimo” per tutti gli utenti: imposta cioè, utente per utente, solo le permissioni che gli sono effettivamente necessarie per svolgere le proprie mansioni. Fai si che ogni utente possa accedere soltanto alle informazioni che gli sono indispensabili.
Per approfondire > Approccio di cybersecurity Zero Trust: perchè, come e quanto è importante per le aziende con forza lavoro remota
Evita di scaricare file o cliccare su link contenuti nelle email:
spesso l’accesso alle reti da parte degli attaccanti non avviene tramite sofisticate tecniche di attacco, ma anzi l’attaccante fa breccia nel punto più debole della catena della cyber sicurezza: l’utente. E’ fondamentale non fare click su link né scaricare allegati contenuti in email inaspettate, sospette, improvvise. Infine non abilitare mai le macro contenute nei documenti circolanti via email, a meno che non ci sia l’assoluta certezza della legittimità della comunicazione.
Per Approfondire > Attacchi basati sulle macro di Office: come funzionano? Breve vademecum
Forma i dipendenti, i collaboratori e chiunque acceda alla rete:
come detto, l’anello debole della catena di cyber sicurezza e sicurezza dei dati è l’utente. Forma dipendenti e collaboratori, rendili partecipi dei protocolli di sicurezza e consapevoli e sensibili rispetto ai rischi, almeno quelli più diffusi. Stabilisci un protocollo di reazione in caso di incidente informatico, così che tutti sappiano cosa fare in caso dovesse verificarsi un attacco ransomware.
Non esporre mai direttamente in internet le connessioni Remote Desktop Protocol. Se proprio hai necessità di usare l’RDP, fallo sempre tramite una VPN.
Implementa un modello di sicurezza stratificato (multi livello)
nella scelta di un approccio stratificato alla sicurezza, consigliamo di valutare attentamente:
> sicurezza delle reti e dei server;
> gestione degli endpoint;
> gestione dei dispositivi mobile.
Per approfondire > Implementa un modello di sicurezza stratificato con Seqrite!
Implementa sistemi di protezione preventiva:
come l’Intrusion Prevention Sistem (IPS) e il Web Application Firewall. Saranno utili protezioni perimetrali, se posti a difesa dei servizi esposti su Internet.
Adotta un SOC – Security Operation Center:
un SOC è un vero e proprio centro operativo dedicato alla sicurezza informatica il cui scopo, nel complesso, è monitorare costantemente la rete aziendale in cerca di attività anomale o sospette.

Rhadamanthys malware sbarca per la prima volta in Italia: il CERT ha intercettato e analizzato la prima campagna di distribuzione contro utenti italiani

Rhadamanthys malware sbarca per la prima volta in Italia
Il CERT ne ha dato notizia nel suo bollettino settimanale, nel quale elenca le campagne dannose intercettate nel cyber spazio italiano. Rhadamanthys malware è sbarcato per la prima volta in Italia, con uno schema piuttosto classico. Le email dannose veicolavano cioè archivi ZIP contenenti file dannosi.

In breve, poi sotto vediamo qualche dettaglio aggiuntivo per i più curiosi, Rhadamanthys è un malware infostealer che prende di mira, principalmente, credenziali e dati finanziari salvati nei browser, così come gli account email e i wallet di criptovaluta. E’ organizzato secondo il modello del malware-as-a-service (MaaS) e i suoi autori lo pubblicizzano addirittura su Google Ads. Tra i dati, ruba anche le informazioni sull’hardware, sul sistema, sui software installati e registra persino l’indirizzo IP.

Rhadamanthys malware in vendita
Tutto inizia nel Settembre del 2022, quando un utente anonimo inizia a postare sui “giusti canali” la messa in vendita di un nuovo malware

Rhadamanthys Malware in vendita
Fonte: research.checkpoint.com
L'annuncio di vendita di Rhadamanthys Malware
Fonte: research.checkpoint.com
Il cassico caso di malware as a service, nel quale uno o più cyber criminali sviluppano e affittano malware. Con tanto di pubblicità e supporto clienti. Un servizio malware a tutti gli effetti. Sotto il listino prezzi

Fonte: research.checkpoint.com
Come e cosa fanno i clienti di Rhadamanthys non interessa il suo autore. Le campagne di distribuzione sono infatti di vario tipo, secondo preferenza degli acquirenti. Ad esempio i ricercatori di CheckPoint hanno individuato una campagna di distribuzione che ha visto l’uso di Google Ads per la distribuzione del malware.

Le funzionalità
Dalle analisi i ricercatori hanno potuto ricostruire che Rhadamanthys, scritto in C++, si compone di due moduli. Il primo modulo è un loader responsabile del download del modulo principale. Quest’ultimo modulo ha le funzionalità necessarie per la raccolta ed esfiltrazione dei dati da rubare.

Va detto che l’analisi del codice di Rhadamanthys è assai complessa perchè il malware mostra complesse tecniche anti analisi implementate grazie a librerie open source. Quel che emerge è comunque che la quantità di informazioni che questo malware estrae dalle macchine bersaglio è impressionante:

nome computer, username, capacità della RAM, core della CPU, risoluzione schermo, fuso orario, geoip, ambiente, software installati, screenshot, cookie, cronologia, autocompilazioni, carte di credito salvate, download, preferiti, estensioni.

Non basta: ruba le credenziali da

client FTP: Cyberduck, FTP Navigator, FTPRush, FlashFXP, Smartftp, TotalCommander, Winscp, Ws_ftp, FileZilla e Coreftp;
client email: CheckMail, Clawsmail, GmailNotifierPro, Mailbird, Outlook, PostboxApp, Thebat!, Thunderbird, TrulyMail, eM e Foxmail;
app 2FA e password manager: RoboForm, RinAuth, Authy e KeePass;
servizi VPN: AzrieVPN, NordVPN, OpenVPN, PrivateVPN_Global_AB, ProtonVPN e WindscribeVPN;
app note: NoteFly, Notezilla, Simple Stick Notes e Windows Sticky notes;
cronologia dei messaggi da app come Psi+, Pidgin, tox, Discord e Telegram;
per non farsi mancare nulla, ruba le credenziali anche da Steam, TeamViewer e SecureCRT.

Esfiltrazione delle credenziali da FileZilla. Fonte: research.checkpoint.com
Mira anche al furto di criptovalute e alle credenziali dei wallet: questo è’ un tema che pare stare molto a cuore all’autore del malware, che ha fornito diversi upgrade proprio mirati al furto di criptovalute. Ad ora Rhadamanthys “buca”

Auvitas, BitApp, Crocobit, Exodus, Finnie, GuildWallet, ICONex, Jaxx, Keplr, Liquality, MTV, Metamask, Mobox, Nifty, Oxygen, Phantom, Rabet, Ronin, Slope, Sollet, Starcoin, Swash, Terra, Station, Tron, XinPay, Yoroi, ZilPay, Coin98, Armory, AtomicWallet, Atomicdex, Binance, Bisq, BitcoinCore, BitcoinGold, Bytecoin, coinomi, DashCore, DeFi, Dogecoin, Electron, Electrum, Ethereum, Exodus, Frame, Guarda, Jaxx, LitecoinCore, Monero, MyCrypto, MyMonero, Safepay, Solar, Tokenpocket, WalletWasabi, Zap, Zcash e Zecwallet.

Come si diffonde
Rhadamanthys è distribuito principalmente, pur con ampie variazioni, tramite due canali:

Google Ads, con redirect degli utenti a siti web di phishing che emulano i siti ufficiali di popolari app come Zoom, Anydask, NotePad++, Bluestacks ecc…
email di spam con allegato dannoso che veicola il payload.
Sotto, una campagna di distribuzione via email che ha sfruttato l’uso dei PDF e poi tentato di igannare gli utenti e far scaricare loro un falso aggiornamento di Adobe

Una email di spam che ha distribuito Rhadamanthys
Il falso aggiornamento Adobe che porta al download di Rhadamanthys
Tra i siti di phishing sono noti esempi collegati a Rhadamanthys:

bluestacks-install[.]com
zoomus-install[.]com
install-zoom[.]com
install-anydesk[.]com
install-anydeslk[.]com
zoom-meetings-install[.]com
zoom-meetings-download[.]com
anydleslk-download[.]com
zoomvideo-install[.]com
zoom-video-install[.]com
istaller-zoom[.]com
noteepad.hasankahrimanoglu[.]com[.]tr
Nella foto sotto, i processi dell’installer fake di AnyDesk che portano all’installazione, invece, di Rhadamanthys

i processi dell'installer fake di AnyDesk che portano all'installazione, invece, di Rhadamanthys
i processi dell’installer fake di AnyDesk che portano all’installazione, invece, di Rhadamanthys: fonte blog.cyble.com
Guide utili per rimanere al sicuro da attacchi malware e phishing
Attacchi basati sulle macro di Office: come funzionano? Breve vademecum
Gli allegati email più usati per infettare Windows
L’alert del CERT: in crescita il fenomeno delle campagne di phishing che cambiano i contenuti in base all’indirizzo email della vittima
SOC – Security Operation Center: che cosa, perché, come

sLoad torna in diffusione dopo 2 mesi di silenzio: ancora sotto attacco il circuito PEC. L’alert del CERT

sLoad ritorna dopo 2 mesi di silenzio
Con un alert specifico, il CERT ha annunciato il ritorno in diffusione di sLoad in Italia. L’ultima campagna risaliva a circa 2 mesi fa. Come sempre, a questo sLoad ci ha abituati, la diffusione è avvenuta entro il circuito PEC.

La campagna, specifica il CERT, ha avuto inizio nella notte del 28 Giugno e ha visto la diffusione, in molte caselle PEC, di email contenenti un link ad una risorsa dannosa.

Fonte: https://cert-agid.gov.it
Il link alla risorsa dannosa è camuffato da falsa fattura.

I dettagli della campagna in corso
La campagna odierna, va detto, non presenta differenze rispetto all’ultima campagna di diffusione, almeno guardando dal punto di vista tecnico. Cliccando sul link, la vittima scarica un archivio ZIP che contiene, a sua volta, un file VBS. Questa risorsa è denominata FatturaXXXXXXX.vbs.

Come da tradizione, gli attaccanti usano bitsadmin per scaricare e lanciare l’eseguibile di sLoad dal dominio remoto

sLoad: l'uso di bitsadmin per scaricare e eseguire il malware
Fonte: https://cert-agid.gov.it
Il passo successivo è quello di registrare indirizzo IP e il nome della macchina colpita nel C&C. I payload aggiuntivi invece vengono rilasciati successivamente. Lo scopo principale di questi ulteriori payload è il furto di informazioni e credenziali, anche e soprattutto di posta.

Il CERT non ha potuto procede ad analisi del payload finale in quanto non c’è stato modo di recuperarne un sample da analizzare. In ogni caso CERT e Gestori di PEC stanno contrastando la campagna e hanno rilasciato gli indicatori di compromissione agli enti accreditati.

sLoad: dettagli tecnici
Sviluppato per operare sui sistemi Windows e per colpire le aziende, si basa su uno script Powershell del cui download è appunto responsabile il dropper su menzionato. E’ questo Powershell che installa ed esegue il core di sLoad. Manco a dirsi è altamente offuscato, ma i ricercatori hanno osservato che sLoad si installa in APPDATA in una cartella il cui nome ha lunghezza variabile. La prima operazione compiuta è, ovviamente, quella di garantirsi la persistenza. Per farlo crea una task apposita che inizia con la lettera S ed è seguita, nel nome, da un numero sequenziale: sLoad così si anniderà nel sistema e sarà sempre pronto ad agire.

Tecnicamente è definibile come un RAT, trojan di accesso remoto: i server di comando e controllo sono elencarli nel file sleep.sh (anche se il nome di questo file varia tra i sample). Le chiamate ai server C&C e le operazioni di rete sono eseguite via BitsAdmin. Qui sLoad ha perfino una tecnica di autodifesa: se viene rilevata una richiesta non compatibile con BitsAdmin o con il core, l’IP che la effettua viene bloccato. Per questo il malware invia ai server C&C chiamate per verificare che siano attivi.

sLoad ha una caratteristica peculiare: è molto paziente. Aspetta un’ora a distribuire il primo payload: le fasi successive invece avvengono ogni 4 ore.

Una volta stabilita la connessione coi server C&C, sLoad ricerca una lunga serie di informazioni.
Ad esempio:

cartelle condivise;
nome CPU e del sistema operativo;
la lista di tutti i file OST (Outlook) precedenti nel percorso AppData\Local\Microsoft\Outlook;
la lista dei processi in esecuzione;
ricerca in APPDATA i file contenenti i domini di note banche italiane.
Il secondo payload invece esfiltra i dati “interessanti”: raccoglie i dati di sessione dell’utente dai principali browser, ne fa un file ZIP e lo invia al server di comando e controllo. Probabilmente è così che è riuscito a infiltrarsi nel circuito PEC, visto che può recuperare i file nei quali i browser più popolari salvano cookie e password e questo potrebbe aver permesso ai suoi gestori di avere accesso ad una serie di account PEC, compromettendoli.

8Base Ransomware: nuovo gruppo ha iniziato a colpire aziende in tutto il mondo con la tecnica della doppia estorsione

8Base Ransomware: breve cronistoria
La prima individuazione di 8Base risale al Marzo 2022: non parliamo quindi di una operazione ransomware “neonata”. Ai tempi però non ha creato grosse preoccupazioni, dato che 8Base si è reso protagonista di pochissimi attacchi di alto livello.

Nel Giugno 2023 invece 8Base diviene minaccia concreta, reale e pericolosa. L’attività del gruppo si è intensificata nel tempo fino ad arrivare, questo mese, ad un vero e proprio picco. Aumentano le aziende colpite e i settori produttivi presi di mira, tutti col meccanismo della doppia estorsione.

Il leak site dove il gruppo rivendica gli attacchi che hanno avuto successo elenca già 35 vittime.

ThreatLabz has identified a new ransomware data leak site for a group named #8Base with victims dating back to April 2022: https://t.co/inGLMXiLKB

An example 8Base ransom note is available in our GitHub repo here: https://t.co/xYBNxBdpY2 pic.twitter.com/WbS4rJkJBC

— Zscaler ThreatLabz (@Threatlabz) May 22, 2023
Il leak site, ovviamente ubicato nel dark web, è stato lanciato soltanto nel Maggio 2023 con un “tono peculiare”. Il gruppo si presenta come composto da “semplici e onesti” pentester.

“Siamo semplici e onesti pentester. Offriamo alle aziende le più leali condizioni per la restituzione dei loro dati. Questo elenco (delle vittime nel leak site N.d.r) contiene solo quelle aziende che hanno trascurato la privacy e l’importanza dei dati dei propri dipendenti e clienti”

si legge nel leak site.

Il gruppo dispone anche di un canale Telegram e di un account Twitter. Sotto l’attività del ransomware 8Base.

8base ransomware: attività
Fonte: WMware
8Base ransomware ha legami con altri gruppi ransomware?
Il team Carbon Black di VMware ha pubblicato un nuovo report su 8Base, affermando che le tattiche messe in campo negli ultimi attacchi da questo gruppo ransomware indicano che siamo in presenza di un vero e proprio rebranding di una operazione ransomware già consolidata, probabilmente RansomHouse. Il sospetto nasce dal fatto che le due operazioni ransomware utilizzano la stessa identica nota di riscatto, così come sono molti simili, in termini di linguaggio e contenuti, i rispettivi leak site

8base ransomware: le similitudini con RansomHouse
Fonte: WMware
Ciò però non conferma ne prova il rebranding di RansomHouse: 8Base potrebbe semplicemente aver “preso spunto”.

Qualche info tecnica
Venendo al lato tecnico, 8Base usa una versione personalizzata del ransomware Phobos nella sua versione 2.9.1. Phobos è una operazione RaaS mirata per sistemi Windows comparsa nel 2019 e che presenta, nel proprio codice, molte somiglianze con il ransomware Dharma. Come loader, invece, 8Base utilizza il ben noto SmokeLoader.

L’estensione di criptazione vista negli attacchi più recenti è .8base, ma l’esperto di ransomware Michael Gillespie ha dichiarato che alcuni invii su ID ransomware relativi ad attacchi del ransomware Phobos utilizzavano già tempo fa l’estensione .eight. Non solo: la redazione di Bleeping Computer ha scoperto che gli attacchi più recenti che usano l’estensione .8base presentano la stessa email di contatto (helpermail@onionmail[.]org) già utilizzata nel 2022 in attacchi con estensione .eight

Un’altra scoperta interessante, merito degli esperti VMware, è che il dominio utilizzato per ospitare il payload del ransomware (admlogs25[.]xyz) . Dominio che risulta associato al malware proxy SystemBC usato da molti gruppi ransomware per offuscare le comunicazioni C2.

Informazioni, queste, che ribadiscono come i componenti del gruppo 8Base conducano attacchi crittografici da oltre un anno, ma solo l’apertura del leak site nel dark web ha consentito loro di “farsi un nome”.

Proteggersi dai ransomware: step basilari
Premettendo che la sicurezza informatica al 100% non esiste e che gli strumenti, le soluzioni e la postura difensiva variano da azienda ad azienda, da rete a rete, i punti sottostanti sono il minimo indispensabile per raggiungere un livello accettabile di sicurezza informatica.

Predisponi un piano di backup:
è fondamentale dotarsi di soluzioni di backup e di organizzarsi per eseguire backup di tutti i dati a cadenza regolare. I backup stessi andranno testati regolarmente, per verificare che i dati siano integri. Disporre di backup integri e il più recenti possibile consente di minimizzare la perdita dei dati e accelerare i processi di rispristino. E’ fondamentale isolare dalla rete i backup critici per evitare che, in caso di attacco ransomware, finiscano criptati anche i backup. A tale scopo, ti consigliamo di valutare la nostra soluzione Strongbox Cloud PRO, appositamente pensata per le PMI.
Mantieni sempre aggiornato il sistema operativo, i software e gli applicativi in uso:
le vulnerabilità sono le porte di accesso che consentono agli attaccanti di accedere alle reti. Verifica che questi software siano sempre aggiornati all’ultima versione disponibile ed installa le patch consigliate dal vendor. La suite di soluzioni di sicurezza aziendali Seqrite ha funzionalità specifiche a tale scopo: dalla gestione centralizzata delle patch alla scansione delle vulnerabilità.
Scegli una solida soluzione antivirus e mantienila sempre aggiornata:
sempre più soluzioni antivirus si sono dotate di strumenti specifici per il contrasto agli attacchi ransomware. Scopri di più sulla funzionalità antiransomware di Quick Heal / Seqrite, tecnologia brevettata negli Stati Uniti.
Adotta l’approccio zero trust:
applica il principio del “privilegio minimo” per tutti gli utenti: imposta cioè, utente per utente, solo le permissioni che gli sono effettivamente necessarie per svolgere le proprie mansioni. Fai si che ogni utente possa accedere soltanto alle informazioni che gli sono indispensabili.
Per approfondire > Approccio di cybersecurity Zero Trust: perchè, come e quanto è importante per le aziende con forza lavoro remota
Evita di scaricare file o cliccare su link contenuti nelle email:
spesso l’accesso alle reti da parte degli attaccanti non avviene tramite sofisticate tecniche di attacco, ma anzi l’attaccante fa breccia nel punto più debole della catena della cyber sicurezza: l’utente. E’ fondamentale non fare click su link né scaricare allegati contenuti in email inaspettate, sospette, improvvise. Infine non abilitare mai le macro contenute nei documenti circolanti via email, a meno che non ci sia l’assoluta certezza della legittimità della comunicazione.
Per Approfondire > Attacchi basati sulle macro di Office: come funzionano? Breve vademecum
Forma i dipendenti, i collaboratori e chiunque acceda alla rete:
come detto, l’anello debole della catena di cyber sicurezza e sicurezza dei dati è l’utente. Forma dipendenti e collaboratori, rendili partecipi dei protocolli di sicurezza e consapevoli e sensibili rispetto ai rischi, almeno quelli più diffusi. Stabilisci un protocollo di reazione in caso di incidente informatico, così che tutti sappiano cosa fare in caso dovesse verificarsi un attacco ransomware.
Non esporre mai direttamente in internet le connessioni Remote Desktop Protocol. Se proprio hai necessità di usare l’RDP, fallo sempre tramite una VPN.
Implementa un modello di sicurezza stratificato (multi livello)
nella scelta di un approccio stratificato alla sicurezza, consigliamo di valutare attentamente:
> sicurezza delle reti e dei server;
> gestione degli endpoint;
> gestione dei dispositivi mobile.
Per approfondire > Implementa un modello di sicurezza stratificato con Seqrite!
Implementa sistemi di protezione preventiva:
come l’Intrusion Prevention Sistem (IPS) e il Web Application Firewall. Saranno utili protezioni perimetrali, se posti a difesa dei servizi esposti su Internet.
Adotta un SOC – Security Operation Center:
un SOC è un vero e proprio centro operativo dedicato alla sicurezza informatica il cui scopo, nel complesso, è monitorare costantemente la rete aziendale in cerca di attività anomale o sospette.
Per approfondire > SOC – Security Operation Center: che cosa, perché, come

Le connessioni remote RDP sono uno strumento potentissimo ma anche una forte attrattiva per i cyber criminali. Ecco i dati di un interessante esperimento

I cyber criminali bersagliano l’RDP
I ricercatori di sicurezza di GoSecure hanno condotto un interessante esperimento del quale hanno reso pubblici i dati durante uno speech tenuto in occasione del NorthSec, una conferenza sulla cybersecurity tenuta annualmente a Montreal.

I ricercatori hanno esposto nel web pubblico un honeypot ad alto livello di interazioni con una connessione RDP. Così hanno potuto verificare come mediamente l’honeypot abbia subito circa 37.000 tentativi di brute-forcing al giorno da vari indirizzi IP. Durante la fase di brute-forcing gli attacchi sono stati automatizzati ma, una volta ottenute le credenziali, gli attaccanti hanno iniziato a verificare manualmente i dati in cerca di informazioni sensibili.

I dati parlano chiaro: gli attaccanti operano secondo programmi giornalieri prestabiliti ed “alta attività” del tutto simile all’orario e alle attività di un lavoro regolare d’ufficio.

L’honeypot, va detto, è online ed esposto da circa 3 anni a fasi alterne al fine di raccogliere dati: informazioni importanti raccolte allo scopo di studiare e comprende le strategie degli attaccanti al fine di sviluppare contromisure di sicurezza. Da circa un anno è in funzione continuativa, ma i dati esposti nel report riferiscono al periodo Luglio – Settembre 2022.

L’esperimento in dettaglio
Ecco, i dati degli ultimi tre mesi sono davvero allarmanti: i ricercatori hanno fatto sapere che il numero complessivo di tentativi di login sul sistema honyepot RDP è stato vicino ai 3.5 milioni.

In dettaglio l’honeypot è stato colpito per 3.427.611 volte da oltre 1500 indirizzi IP differenti. Il totale dei tentativi di login ha ormai raggiunto, nel corso del tempo, i 13 milioni. D’altronde i ricercatori hanno ben allestito la trappola: hanno riniminato il sistema honyepot in maniera tale da sembrare facente parte di una rete interna di un istituto bancario.

Gli attacchi sono stati praticamente tutti terntativi di brute-forcing delle credenziali di login basate su una grande quantità di dizionari diversi e sui più comuni username come “Administrator”, “Admin” e varianti….

Gli username più utilizzati nei tentativi di brute-forcing dell'RDP
Fonte: Bleeping Computer
Gli altri nomi utenti non derivanti dallo username Admin sono quelli scelti dai ricercatori per “attirare” i cyber attaccanti nella “rete bancaria” fake. Il dato è importante perchè testimonia come alcuni attaccanti non si siano limitati a testare “alla cieca” coppie di credenziali di accesso, ma abbiano svolto un lavoro informativo sulla vittima in precedenza dell’attacco.

Le strategie di attacco nei tentativi di login
Il sistema honeypot RDP ha raccolto gli hash delle password tentate, così i ricercatori sono riusciti a portare in chiaro almeno quelle più deboli. I risultati hanno mostrato che la strategia più comune di attacco è consistita nell’utilizzare una variazione del certificato RDP. Quindi gli attaccanti hanno tentato varianti della parola password e, in terza battuta, semplici stringhe di massimo 10 caratteri.

Le strategie di attacco sulle password contro l'honeypot RDP
Fonte: Bleeping Computer
Altro dato interessante, correlando le statistiche relative agli indirizzi IP di attacco, è che il nome del certificato RDP è usato esclusivamente in tentativi di login da IP in Cina o in Russia. Che non significa che tutti gli attaccanti provengono da quelle due nazioni, ma che hanno utilizzato infrastrutture cinesi e russe. Altro dato interessante è che il 15% degli attaccanti ha combinato migliaia di password con solo 5 diversi nomi utente.

Una normale giornata di lavoro
Il coinvolgimento umano negli attacchi si nota dopo la fase iniziale di brute force, quando l’attaccante riesce a penetrare nel sistema. Inizia quindi la ricerca di dati preziosi. Di nuovo, l’analisi degli indirizzi IP ha portato alla luce fatti interessanti. I ricercatori ne hanno ricavato una “heat map” e hanno visto “formarsi” sotto i loro occhi precisi pattern giornalieri. E’ così che hanno potuto registrare perfino le pause dovute alle pause reali effettuate dagli attaccanti nel corso del “loro lavoro”.

La heat map delle attività di attacco contro l'honyepot RDPFonte: Bleeping Computer
Le sessioni “di lavoro” per la maggior parte sono di 4 ore e si estendono fino ad 8, anche se in i ricercatori hanno registrato sessioni di attività che si sono prolungate fino a 13 ore. Insomma, per quanto gli attacchi siano automatizzati, l’intervento umano resta importante da una certa fase in poi. Intervento umano che si sviluppa seguendo una precisa tabella di marcia / programma.

Le pause dei tentativi di brute forcing nel fine settimana sembrano fornire ulteriore conferma di quanto gli attaccanti prendano seriamente il proprio “lavoro”. Hanno pause e “ferie”. Un lavoro regolare a tutti gli effetti.

I ricercatori di sicurezza di Citizen Lab e Cisco hanno reso pubblica una dettagliata analisi tecnica di un nuovo spyware commerciale, chiamato Predator, e del suo loader Alien. Il report riporta una panoramica delle capacità di furto dati dello spyware Predator e una serie di dettagli operativi.

Predator spyware in breve
Predator è uno spyware commerciale per le piattaforme mobile iOS e Android sviluppato dall’azienda israeliana Intellexa. La famiglia malware alla quale appartiene Predator è collegata a una serie di operazioni di sorveglianza che ha preso di mira giornalisti, politici europei di alto profilo e perfino l’executive di Meta.

Le funzionalità principali sono

registrazione delle chiamata;
raccolta di dati delle app di messaggistica;
nascondere applicazioni o impedirne l’esecuzione su dispositivi Android;
ecc…
Uno sguardo più a fondo: il loader Alien
Nel Maggio 2022 Google TAG ha reso pubbliche 5 vulnerabilità 0-day del sistema Android. Queste sono sfruttate da Predator per eseguire shellcode e installare il suo loader, Alien, sul dispositivo bersaglio.

Il loader di Alien si inietta nel processo principale di Android, chiamato “zygote64”. A questo punto scarica e attiva componenti spyware addizionali seguendo la configurazione integrata. Alien quindi recupera Predator da un indirizzo esterno, quindi lo avvia sul dispositivo oppure aggiorna il payload con una versione più recente, se disponibile.

Il lavoro di Alien non finisce qui: continua infatti ad operare sul dispositivo facilitando le comunicazioni sicure tra i componenti dello spyware “semplicemente” nascondendole entro i processi legittimi di sistema. Riceve anche comandi da Predator, da eseguire bypassando la sicurezza Android (SELinux). E’ proprio questa capacità di bypassare SELinux che fa di Predator uno spyware top di gamma ben superiori agli stealer e ai trojan venduti via Telegram.

Predator spyware: la funzionalità di code injection
La funzionalità di code injection. Fonte: https://blog.talosintelligence.com
Cisco spiega che Alien può fare questo abusando dei contesti SELinux, che determinano quali utenti e con quale livello di informazioni è permesso su ogni processo e oggetto nel sistema. Può così rimuovere le restrizioni esistenti. Inoltre Alien ascolta i comandi per “ioctl” per la comunicazione interna tra i vari componenti spyware, che SELinux non verifica.

Infine Alien salva i dati e le registrazioni su uno spazio di memoria condiviso, quindi lo sposta sullo storage estraendoli, infine, tramite Predator. Questo processo non provoca alcuna violazione di accesso e passa inosservato a SELInux.

Predator Spyware: Il flusso di esecuzione di Alien.
Il flusso di esecuzione di Alien. Fonte: https://blog.talosintelligence.com
Predator spyware: funzionalità
Ora a Predator, il modulo principale dello spyware. Arriva sul dispositivo in formato ELF, quindi configura un ambiente di runtime Python per facilitare il funzionamento delle varie funzionalità di spionaggio.

Tra queste funzionalità facilitate dal modulo Python di Predator ci sono:

esecuzione di codice arbitrario;
registrazioni audio;
sostituzione dei certificati (per condurre attacchi man-in-the-middle e spiare le comunicazioni di rete criptate con TLS);
blocco dell’esecuzione di app dopo il reboot;
enumerazione delle directory.
Predator può anche nascondere app.

Alien verifica anche il tipo di dispositivo nel quale è in esecuzione, verificando se sia un Samsung, Huawei, Oppo o Xiaomi. Se trova una corrispondenza inizia ed elencare ricorsivamente i contenuti delle directory che memorizzano i dati degli utenti dai social, dalla posta elettronica, dalle app di messaggistica instantanea ecc… Predator “pesca” anche l’elenco dei contatti della vittima, e elenca i file privati nelle cartelle di media dell’uitente: audio, video, immagini ecc…

Le Directory enumerate da Predator spyware
Le Directory enumerate da Predator spyware. Fonte: https://blog.talosintelligence.com
I moduli mancanti
I ricercatori specificano che non sono riusciti a ricostruire i dettagli di due moduli, entrambi caricati nel runtime Python: sono “tcore” e “kmen”.

“Siamo piuttosto sicuri che lo spyware abbia due componmenti aggiuntivi – tcore (il componente principale) e kmen (per l’escalation dei privilegi) – ma non siamo stati in grado di ottenere e analizzare questi moduli”

spiegano i ricercatori di Cisco.

Il sospetto è che, almeno tcore, sia in grado di geolocalizzare il target, scattare immagini dalla fotocamera o simulare lo spegnimento del dispositivo. Kmen parrebbe invece fornire accesso arbitratio in scrittura e lettura nel kernel. Le difficoltà di analisi sono legate al fatto che i moduli di Predator non possono essere estratti dai dispositivi infetti.

In sunto non è ancora possibile determinare tutte le funzionalità e le componenti di Predator.

Il malware Qbot, che ben conosciamo in Italia, mostra una nuova tecnica di attacco. Sfrutta l’eseguibile di Wordpad per infettare i dispositivi

Qbot (Qakbot) in breve
Di Qbot, conosciuto anche come Qakbot, abbiamo già parlato varie volte. A cadenza irregolare viene infatti diffuso in Italia e se ne trova spesso traccia nei bollettini settimanali con i quali il CERT informa relativamente ai malware e alle campagne di attacco attive nel cyber spazio italiano.

Per saperne di più > Anatomia di Qakbot, il trojan bancario e infostealer che bersaglia l’Italia

Qakbot è in attività da più di dieci anni. Fu individuato per la prima volta nel lontano 2007, già in uso in attacchi reali. Non è scomparso semplicemente perché in tutti questi anni non ha mai smesso di essere aggiornato, mantenuto e migliorato. Piano piano ha scalato le classifiche dei trojan più diffusi e pericolosi, arrivando ad essere considerato una minaccia di rilievo mondiale. La sua attività principale, per il quale è stato sviluppato fin dall’inizio, è il furto di credenziali bancarie ma le evoluzioni che lo hanno caratterizzato in questi anni hanno portato all’addizione di una vasta gamma di nuove funzioni: dalla possibilità di installare ransomware al fine di massimizzare i profitti da ogni attacco, passando per tecniche di keylogging (furto delle battiture sulla tastiera), tecniche di evasione delle soluzioni di sicurezza, funzionalità di backdoor ecc… Ha anche moduli specifici per il furto di account email dai quali rilanciare ulteriormente le proprie campagne di diffusione.

Nel 2019 viene diffusa una nuova versione, che, rispetto alla precedente dimostra un grande lavoro svolto dai suoi sviluppatori per armarlo ulteriormente e renderlo una minaccia ancora più pericolosa.

Qbot e lo spoofing delle DLL
La novità riguardo Qbot viene dai ricercatori di Cryptolaemus, gruppo di ricercatori di sicurezza che da anni monitora l’attività della famigerata botnet Emotet e di altri malware. Il malware Qbot ha iniziato a sfruttare una vulnerabilità di “DLL spoofing” di Wordpad in Windows 10. Sfruttando questa vulnerabilità Qbot può evadere l’individuazione da parte dei software di sicurezza e infettare i dispositivi.

In dettaglio, quando un applicazione su Windows viene avviata, ricerca e carica tutte le librerie DLL di cui necessita. E’ in questi file DLL infatti che sono contenute le informazioni necessarie e il codice utile ad eseguire le funzionalità dell’app stessa. Le applicazioni Windows sono impostate per caricare prioritariamente le DLL disponibili nella stessa cartella dell’eseguibile dell’app. E’ qui che entra in campo la tecnica del DLL spoofing, che prevede di manipolare o sostituire le DLL originali per portare l’app ad eseguire attività dannosa

.

Tutto inizia con una email di phishing
Il ricercatore di sicurezza ProxyLife, di Criptolaemus, ha spiegato di aver individuato questa nuova campagna di Qbot studiando alcune campagne di phishing. Non ha fornito la mail analizzata, ma ha spiegato che questa conteneva il link per il download di un file. Questo file è un archivio ZIP ospitato su un host remoto e contiene due file: document.exe (l’eseguibile di Wordpad in Windows 10) e una DLL rinominato edputil.dll. Quest’ultima è la libreria usata per il DLL spoofing.

I file contenuti nell'archivio ZIP che avvia l'infezione con Qbot
Fonte: Bleeping Computer
Verificando document.exe emerge come questo non sia altro che il file eseguibile originale di Wordpad rinominato.

L'eseguibile originale di Wordpad appositamente rinominato dagli attaccanti
Fonte: Bleeping Computer
Quando document.exe è eseguito, tenta automaticamente di caricare la DLL legittima chiamata edputil.dll, solitamente raggiungibile nella cartella C:\Windows\System32. Tuttavia, nel ricercare edputil.dll, l’eseguibile non cerca in una cartella specifica. Caricherà invece qualsiasi DLL con lo stesso nome presente nella stessa cartella dove è presente document.exe. Questo consente agli attaccanti di eseguire lo spoofing della DLL semplicemente crerando una versione dannosa di edputil.dll e salvandola nella stessa cartella di document.exe.

Una volta che la DLL dannosa è caricata, il malware utilizza C:\Windows\system32\curl.exe per caricare dall’host remoto una DLL “travestita” da file PNG. Poi, usando rundll32.exe, eseguono il comando

“rundll32 c:\users\public\default.png,print”
Qbot che cosa fa?
Il danno è fatto. Qbot inizia, da questo momento, a funzionare in background sul dispositivo bersaglio. Per prima cosa ruberà le email per distribuirsi in ulteriori attacchi di phishing. Potrà anche tentare di scaricare sul dispositivo infetto ulteriori payload, ad esempio Cobalt Strike (un tool post-exploit che gli attaccanti utilizzano ormai comunemente per ottenere l’accesso iniziale sul target).

A questo punto, il dispositivo infetto viene utilizzato come primo accesso alla rete e gli attaccanti cercheranno di eseguire movimenti laterali. La diffusione lungo la rete può aprire le porte a data breach, furto dati e attacchi ransomware.

Questa tecnica di Qbot ha dei limiti
Questa metodologia di attacco, salvo successive modifiche e aggiornamenti, presenta alcuni limiti. Certo, il grande vantaggio di sfruttare un applicazione legittima e affidabile come Wordpad consente di evitare l’individuazione da parte delle soluzioni antivirus meno avanzate. Ciò non toglie che l’uso di curl.exe rende questo malware limitato a windows 10. I sistemi legacy di Microsoft infatti non contengono curl.exe.

Guide utili per rimanere al sicuro da attacchi malware e phishing
Attacchi basati sulle macro di Office: come funzionano? Breve vademecum
Gli allegati email più usati per infettare Windows
L’alert del CERT: in crescita il fenomeno delle campagne di phishing che cambiano i contenuti in base all’indirizzo email della vittima
SOC – Security Operation Center: che cosa, perché, come
Log Management: cosa è e perché è importante

Il ransomware Monti torna a colpire in Italia dopo l’attacco all’ASL 1 Abruzzo. Ma cosa sappiamo di questo ransomware?

Ransomware Monti di nuovo all’attacco in Italia
Il post di rivendicazione è degli ultimi giorni di Maggio, il 27 per l’esattezza. Il gruppo ransomware Monti ha rivendicato di aver attaccato l’azienda italiana Servizi Omnia.

I post di rivendicazione sul leak site di Monti
I post di rivendicazione sul leak site di Monti
Gli attaccanti si permettono anche uno sfottò: nel post il gruppo scrive che

“Gli italiani hanno subito nuovamente un data breach dei dati dei propri clienti”.

Il riferimento è all’attacco che ha messo in ginocchio l’ASL 1 Abruzzo, del quale abbiamo già parlato qui e qui.

A riprova dell’avvenuto attacco, gli attaccanti hanno pubblicato un file di testo con l’albero dei contenuti esfiltrati. Si vede la presenza di diverse directory con i nomi dei clienti dell’azienda, i contratti, l’accettazione ecc….

diverse directory con i nomi dei clienti dell'azienda, i contratti, l'accettazione ecc....

Ransomware Monti: quei legami con Conti
Monti è una delle principali operazioni Ransomware as a Service attualmente attiva. Ha natali piuttosto recenti, infatti le prime individuazioni risalgono alla metà del 2022.

La particolarità di Monti è che il suo codice si basa, il larga parte, sul codice di un altro malware, il famigerato ransomware Conti. Conti è stata una nota operazione ransomware i cui gestori sono “implosi” per divergenze politiche sul conflitto russo-ucraino tanto che, pochi giorni prima della chiusura delle operazioni, qualche insider ha fatto trapelare online il codice. Poche settimane dopo iniziava la circolazione di Monti, basato proprio su quel codice. La riprova è venuta dalle analisi condotte sugli indicatori di compromissione: a parte poche novità, quasi tutti gli IoC individuati afferivano a precedenti attacchi di Conti.

Per saperne di più > Il Ransomware Conti si schiera a difesa del governo russo e un ricercatore ucraino pubblica il suo codice sorgente. Il top ransomware sta per scomparire?
Per saperne di più > Buone notizie: il ransomware Conti chiude i battenti

Ransomware Monti: il debutto sui BlackBerry sfruttando Log4Shell
Il gruppo Monti si è fatto notare, la prima volta, con un giro di attacchi mirati contro utenti BlackBerry. In quel caso Monti è riuscita criptare 20 host di utenti BlackBerry e circa 20 server. Per farlo, Monti ha sfruttato la vulnerabilità di Apache Log4j per acccedere al server VMware Horizon Connection Broker delle vittime.

Per approfondire > Alert di Microsoft: ancora in corso l’ondata di attacchi che sfruttano le vulnerabilità di Apache Log4j

Da quel momento il ransomware è entrato ufficialmente nella lista delle operazioni RaaS più famose. Portando una novità rispetto a Conti, ovvero l’uso di una piattaforma cloud RMM (Remote Monitoring and Maintenance) chiamata Action1. Action1 è uno dei tanti tool commerciali legittimi che sono spesso utilizzati a fini illegali dal cybercrime. Non si ha però traccia, fino adesso, dell’uso di Action1 in campagne ransomware. Monti invece lo utilizza e per farlo riferisce ad uno dei materiali interni dell’operazione Conti. In dettaglio, il documento interno “CobaltStrike MANUALS_V2 Active Directory” dettagliava per gli affiliati Conti le modalità di installazione di Anydesk

La guida per l'installazione di AnyDesk dai documenti interni di Conti Ransomware
La guida per l’installazione di AnyDesk dai documenti interni di Conti Ransomware. Fonte: BlackBerry
Nel caso di Monti l’unica differenza è l’impiego degli eseguibili dell’agent di Action 1, ovvero action1_agent.exe” e “action1_remote.exe.”.

Tra gli altri tool usati da Monti, secondo l’elenco fornito da BlackBerry, troviamo

WinRAR: utilizzato per comprimere i file raccolti prima di esfiltrarli dal sistema colpito;
WinSCP e PuTTy: usati per esfiltrare i dati dalla rete;
Mimikatz: utile per ottenere le credenziali di accesso (dump delle credenziali, pass-the-hash attack ecc…)
AnyDesk e Action1 RMM per l’accesso remoto alla rete bersaglio;
Avast Anti rootkit driver usato, paradossalmente, per rimuovere i prodotti di sicurezza endpoint / antivirus / soluzioni EDR ecc…
Proteggersi dai ransomware: step basilari
Premettendo che la sicurezza informatica al 100% non esiste e che gli strumenti, le soluzioni e la postura difensiva variano da azienda ad azienda, da rete a rete, i punti sottostanti sono il minimo indispensabile per raggiungere un livello accettabile di sicurezza informatica.

Predisponi un piano di backup:
è fondamentale dotarsi di soluzioni di backup e di organizzarsi per eseguire backup di tutti i dati a cadenza regolare. I backup stessi andranno testati regolarmente, per verificare che i dati siano integri. Disporre di backup integri e il più recenti possibile consente di minimizzare la perdita dei dati e accelerare i processi di rispristino. E’ fondamentale isolare dalla rete i backup critici per evitare che, in caso di attacco ransomware, finiscano criptati anche i backup. A tale scopo, ti consigliamo di valutare la nostra soluzione Strongbox Cloud PRO, appositamente pensata per le PMI.
Mantieni sempre aggiornato il sistema operativo, i software e gli applicativi in uso:
le vulnerabilità sono le porte di accesso che consentono agli attaccanti di accedere alle reti. Verifica che questi software siano sempre aggiornati all’ultima versione disponibile ed installa le patch consigliate dal vendor. La suite di soluzioni di sicurezza aziendali Seqrite ha funzionalità specifiche a tale scopo: dalla gestione centralizzata delle patch alla scansione delle vulnerabilità.
Scegli una solida soluzione antivirus e mantienila sempre aggiornata:
sempre più soluzioni antivirus si sono dotate di strumenti specifici per il contrasto agli attacchi ransomware. Scopri di più sulla funzionalità antiransomware di Quick Heal / Seqrite, tecnologia brevettata negli Stati Uniti.
Adotta l’approccio zero trust:
applica il principio del “privilegio minimo” per tutti gli utenti: imposta cioè, utente per utente, solo le permissioni che gli sono effettivamente necessarie per svolgere le proprie mansioni. Fai si che ogni utente possa accedere soltanto alle informazioni che gli sono indispensabili.
Per approfondire > Approccio di cybersecurity Zero Trust: perchè, come e quanto è importante per le aziende con forza lavoro remota
Evita di scaricare file o cliccare su link contenuti nelle email:
spesso l’accesso alle reti da parte degli attaccanti non avviene tramite sofisticate tecniche di attacco, ma anzi l’attaccante fa breccia nel punto più debole della catena della cyber sicurezza: l’utente. E’ fondamentale non fare click su link né scaricare allegati contenuti in email inaspettate, sospette, improvvise. Infine non abilitare mai le macro contenute nei documenti circolanti via email, a meno che non ci sia l’assoluta certezza della legittimità della comunicazione.
Per Approfondire > Attacchi basati sulle macro di Office: come funzionano? Breve vademecum
Forma i dipendenti, i collaboratori e chiunque acceda alla rete:
come detto, l’anello debole della catena di cyber sicurezza e sicurezza dei dati è l’utente. Forma dipendenti e collaboratori, rendili partecipi dei protocolli di sicurezza e consapevoli e sensibili rispetto ai rischi, almeno quelli più diffusi. Stabilisci un protocollo di reazione in caso di incidente informatico, così che tutti sappiano cosa fare in caso dovesse verificarsi un attacco ransomware.
Non esporre mai direttamente in internet le connessioni Remote Desktop Protocol. Se proprio hai necessità di usare l’RDP, fallo sempre tramite una VPN.
Implementa un modello di sicurezza stratificato (multi livello)
nella scelta di un approccio stratificato alla sicurezza, consigliamo di valutare attentamente:
> sicurezza delle reti e dei server;
> gestione degli endpoint;
> gestione dei dispositivi mobile.
Per approfondire > Implementa un modello di sicurezza stratificato con Seqrite!
Implementa sistemi di protezione preventiva:
come l’Intrusion Prevention Sistem (IPS) e il Web Application Firewall. Saranno utili protezioni perimetrali, se posti a difesa dei servizi esposti su Internet.
Adotta un SOC – Security Operation Center:
un SOC è un vero e proprio centro operativo dedicato alla sicurezza informatica il cui scopo, nel complesso, è monitorare costantemente la rete aziendale in cerca di attività anomale o sospette.
Per approfondire > SOC – Security Operation Center: che cosa, perché, come