lunedì 27 gennaio 2020
Campagna di spam contro utenti italiani: il malware sLoad si diffonde via PEC

La segnalazione del Cert-PA è di stamattina, ma l'individuazione di un'ampia campagna di email di spam che diffonde il malware sLoad via circuito PEC risale a domenica sera. L'email di spam coinvolge centinaia di account PEC differenti ed è indirizzata sia verso utenti privati che enti pubblici.

L'email ha come oggetto “Copia Cortesia – PDF Fattura Numero XXXXXXXX“ dove il numero solitamente è RX49712669619, ma sono state individuate anche alcune varianti nelle quali il fantomatico "codice fattura" può anche variare. E' stato il ricercatore indipendente reecdepp a riportare infatti una variante (visibile qui) "armata" di un archivio .ZIP dentro il quale è contenuto un falso PDF e un file VBS: questa variante mostra un "codice fattura" diverso.

Il testo dell'email è il seguente:

Fonte: https://www.cert-pa.it/notizie/campagna-malspam-sload-veicolata-via-pec/

L'email contiene, come detto, 3 file: nella versione pubblicata dal Cert-Pa i nomi file sono

copia-cortesia-fattura-numero-RX49712669619.zip
copia-cortesia-fattura-numero-RX49712669619.pdf
copia-cortesia-fattura-numero-RX49712669619.vbs

Dall'analisi del codice del file VBS il Cert-PA ha rivelato il download di un ulteriore file al momento non disponibile sul server di archiviazione dei file.

il malware sLoad in breve
sLoad è un malware che si distingue per le particolari tecniche di offuscamento del codice dannoso. Tra le prime informazioni che raccoglie subito dopo l'avvio ci sono tutte le informazioni relative alla macchina infettata (dall'architettura fino al codice UUID, un identificativo univoco universale). Subito dopo pianifica nel tempo il download del codice aggiuntivo necessario al suo funzionamento basilare e per ampliare le funzioni di cui può disporre. Tra le funzioni principali ne troviamo due:

sLoad funge da backdoor sulla macchina infetta. Può essere usato, anche a distanza di molto tempo dall'infezione, per distribuire ulteriori malware nelle macchine già colpite;
sLoad funge da keylogger, ovvero colleziona le battiture sulla tastiera e gli input che arrivano nelle macchine infette;
sLoad ha anche funzioni per il furto periodico di screenshot e di informazioni dal sistema infetto.

E' indubbio che l'anno 2019 sia stato quello che più ha dimostrato come oggi siano i dati le vere prede dei cyber attaccanti, sia che si tratti di "criminali comuni" che di gruppi sponsorizzati da Stati nella cyber guerra a bassa intensità che ormai contraddistingue le relazioni tra alcune nazioni. Database esposti, dati esfiltrati e pubblicati, dati condivisi con terze parti, dati criptati, dati rivenduti nel dark web... Di queste parole si sono riempiti i giornali, non solo quelli di settore, nel 2019.

Sopratutto sarà capitato a tutti di leggere notizie dove si fa riferimento ai cosiddetti data breach e data leak: due dizioni spessissimo usate come sinonimi, perfettamente intercambiabili. In realtà tra data leak e data breach ci sono differenze di fondo.

In comune, le due definizioni hanno, ovviamente, le conseguenze: dati sensibili vengono esposti online e possono quindi (anche se non necessariamente) essere sfruttati per vari scopi, dalla semplice rivendita dei dati nel dark web al furto di identità, al ricatto ecc... Tecnicamente parlando, però, lo scandalo di Cambridge Analytica, che ha visto la raccolta dei dati di 87 milioni di profili Facebook, è stato un data leak. Al contrario l'esposizione dei dati di 500 milioni di clienti della catena alberghiera Marriot, evento accaduto nel 2018, è un data breach. In cosa consiste la differenza? Il punto non è secondario, perché avere chiari questi concetti aiuta a organizzarsi, approntare le soluzioni più adatte, apprendere "buone prassi" che ci rendano sempre più attenti alla sicurezza dei dati e e capaci di difendere la privacy, nostra personale e di eventuali nostri clienti.

Cosa è un data breach
Un data breach è un attacco diretto su dati privati operato da una entità non autorizzata. Un attaccante che penetra in un database o che riesce ad estorcere (magari con una email di phishing) credenziali di accesso ai dati della vittima dell'attacco di phishing ecc... Nel caso della catena Marriot International, gli attaccanti hanno installato un malware nei sistemi probabilmente nel 2014, e questo è rimasto non individuato fino al 2018: la conseguenza diretta è stata l'esposizione dei dati di milioni di clienti. In dettaglio gli attaccanti hanno installato un Remote Access Trojan (RAT) per avere accesso ai sistemi e il tool Mimikatz, specializzato nell'individuazione di username e password nei sistemi di memoria. Se da Marriot avessero provveduto ad effettuare audit riguardanti il rispetto degli standard di sicurezza è molto probabile che il malware sarebbe stato individuato molto prima.

Cosa è un data leak?
Un data leak invece è la trasmissione non autorizzata di dati da dentro una organizzazione ad un destinatario esterno. Il termine può essere usato sia per indicare trasferimenti fisici di dati che digitali, anche se la quasi totalità dei data leak avviene online. Questo tipo di eventi possono dipendere da varie cause, anche se la principale è l'errore umano: ad esempio l'invio di email al destinatario sbagliato oppure l'esposizione accidentale di informazioni in risposta a una richiesta. La maggior parte dei data leak insomma è involontaria e accidentale. Sono data leak anche quegli incidenti dovuti a vulnerabilità o ad errati processi aziendali di conservazione dei dati.

Una delle distinzioni chiave è quindi l'intenzionalità, l'attacco volontario vs l'errore umano ad esempio. L'altra è che il data leak avviene dall'interno all'esterno, mentre un data breach ha "direzione opposta", dall'esterno all'interno.

Perchè questa distinzione è così importante?
La differenza aiuta a comprendere alcune cose, prima di tutto il fatto che talvolta i dati finiscono esposti come risultato della maniera con cui sono progettati determinati servizi. La situazione classica è il database mal configurato, rintracciabile coi comuni motori di ricerca o specifici strumenti di ricerca. In altri casi invece politiche di sviluppo incorenti permettono debolezze nel sistema: Cambridge Analytica era una entità di dubbia legittimità che è riuscita a insinuarsi nelle incoerenze delle politiche di Facebook.

Se un'azienda, contro un data breach, può approntare le misure difensive necessarie e adatte, con soluzioni di sicurezza per endpoint, reti, server e dispositivi mobile, quel che può fare invece per impedire data leak è molto più vasto: si va dalla formazione dei dipendenti alla concezione di politiche coerenti tra loro di gestione dei dati, fino alla valutazione approfondita delle parti terze con le quali condividere i dati (e come e per quanto e per quale finalità).

Come clienti/utenti di un servizio invece non abbiamo alcuna possibilità di prevenire violazioni o fughe di informazioni, a parte tenere presenti le ovvie e necessarie necessità di riservatezza e privacy riguardo le nostre stesse informazioni sensibili, che troppo spesso siamo disposti a rendere pubbliche o a condividere prestando poca attenzione. Un esempio? E' preferibile non condividere la data di nascita sui social se poi utilizziamo quella combinazione di numeri in alcune delle nostre password. Anche informarsi su come un preciso servizio raccoglie e gestisce i dati è importante: possiamo scegliere, leggendo le informative privacy e sicurezza che il GDPR ha reso obbligatorie, tra servizi diversi a seconda della sicurezza e riservatezza che ci garantiscono.

L'alert del Cert-Pa è di ieri: hanno rilevato direttamente una campagna di email di spam in italiano che diffonde, tramite il solito allegato compromesso, una versione piuttosto recente di TrickBot, un malware molto pericoloso sul quale forniremo, in questo testo, alcuni aggiornamenti.

La campagna di email di spam
Le email di spam, veicolo dell'infezione, sono scritte in italiano e provengono da caselle email realmente esistenti (quindi non create ad hoc per l'attacco): molto probabilmente siamo di fronte a diverse centinaia di account email violati, impiegati per veicolare il malware.

Mittente, oggetto, corpo email, nome dell'allegato sono variabili: tendenzialmente l'allegato contiene un file chiamato "Documento_doganale_XXXXXXX.doc". Sotto due campioni email analizzate dal Cert-Pa:

Fonte: https://www.cert-pa.it/

L'allegato dannoso ha, come nome, una parte fissa “documento_doganale_”, seguita da una serie numerica che varia, ma comunque sempre di 7 cifre: alcuni file dannosi riscontrati dal Cert-Pa sono:
documento_doganale_1693507.doc
documento_doganale_4644896.doc
documento_doganale_3009002.doc
documento_doganale_5288883.doc
documento_doganale_2535400.doc
documento_doganale_3647173.doc
documento_doganale_4648739.doc
documento_doganale_4769863.doc
documento_doganale_6570725.doc
Qualora un utente riceva una email contenente questi file o file con nome simile, è molto importante NON APRIRE L'ALLEGATO e, sopratutto, NON ATTIVARE LA MACRO contenuta.

Quel che colpisce è che questi allegati compromessi presentano, per adesso, un bassissimo livello di individuazione da parte degli antivirus più popolari e diffusi, quindi ad ora gli utenti sono esposti all'attacco, a meno che non siano in grado di individuare l'email di spam e quindi non procedere ad apertura dell'allegato.

TrickBot: parliamone ancora
Il trojan Trickbot è una vecchia conoscenza, individuato la prima volta nel 2016: conosciuto anche come Trickster o TheTrick, ha debuttato sulle scene dal cyber crime esclusivamente come trojan bancario, ma è stato aggiornato costantemente con nuove funzioni, moduli e tecniche di offuscamento sempre più complesse. Inizialmente aveva solo funzionalità da trojan bancario “classico”, ovvero la capacità di estrapolare dalla macchina infetta quante più informazioni finanziarie possibili. Recentemente ha “mutato pelle”, diventando anche un malware dropper, capace cioè di scaricare sulle macchine compromesse anche altre famiglie di ransomware.

L'ultima, recentissima, evoluzione risale a poco meno di una settimana fa: gli attori TrickBot, anziché usare tool già conosciuti, hanno deciso di sviluppare un proprio tool, chiamato PowerTrick, che ha la capacità di diffondere il malware lateralmente lungo una rete. In breve, quando gli attaccanti riescono ad ottenere l'accesso ad una rete, tentano di trovare le credenziali di amministratore e dei singoli utenti quindi diffondono il malware lungo la rete. Questo tipo di movimento laterale viene solitamente eseguito con framework o tool post-exploit appositi, che facilitano la raccolta delle credenziali, l'esecuzione di comandi, la distribuzione di malware.

PowerTrick in dettaglio è un framework post-exploit file less (cioè non necessita di installare file sul sistema per funzionare - è, questa, una tecnica anti individuazione) che consente agli operatori di TrickBot di eseguire ricognizioni silenziose in cerca di dati, garantirsi la persistenza sulla rete e propagare lateralmente il malware.

Non meno importante: il tool procede all'installazione di backdoor che garantiscono agli attaccanti accesso in tempo reale ai sistemi e alla rete. La necessità di sviluppare in proprio un tool, anche se ve ne sono decine simili e molto popolari, origina probabilmente dalla necessità per gli attori di TrickBot di poter ridurre ancora il tasso di individuazione da parte delle soluzioni anti virus e anti malware, ma anche di costruire un tool più adatto alle loro specifiche esigenze.

Il 2020 vedrà scattare il fine vita per molteplici software sviluppati da Microsoft: Windows 7 è quello di cui si è più parlato, sia perchè è un sistema operativo, nelle sue varie versioni, ancora estremamente diffuso sia perchè è sicuramente il software più importante e famoso tra quelli che arrivano al cosiddetto EOL, ossia End of Life.

Cosa significa EOL, end of life
Arrivare a fine vita vuol dire, per un software, che la casa madre, in questo caso Microsoft appunto, non fornirà più patch di sicurezza per le vulnerabilità, fix per i bug e supporto tecnico. Inutile, forse, ribadire quanto sarà rischioso per gli utenti non provvedere al passaggio alle versioni più recenti o più aggiornate di un software: questi sistemi operativi vedranno aumentare sempre di più il numero di falle presenti, con un aumento della superficie di attacco che crescerà costantemente.

Windows 7 e Server 2008
Le scadenze per questi due sistemi operativi sono:
Windows 7: 14 gennaio 2020
Windows 7 Professional for Embedded Systems: 14 gennaio 2020
Windows Embedded Standard 7: 13 ottobre 2020
Windows Server 2008 e 2008 R2: 14 gennaio 2020

Per Windows Server 2008 e Windows 7 sarà comunque possibile, ancora per qualche tempo, ricevere update ESU, ma questi sono riservati a chi ha disponibilità economica, quindi aziende e enti governativi. Se avete necessità di informazioni riguardanti il fine vita di Windows 7 e di Windows server 2008, anche quest'ultimo destinato a scadere nel 2020, rimandiamo a questo dettagliato articolo > Gennaio 2020: Windows 7 e Windows Server 2008 R2 arrivano a fine vita. Che fare?

Gli altri software in "scadenza"
Oltre a Windows 7 e Server 2008 vanno già in (baby) pensione anche alcune versioni di Windows 10: è una caso particolare di prodotti coperti dalla "Modern Policy" di Microsoft. La Modern Policy prevede che alcuni prodotti e servizi vengano costantemente supportati e che Microsoft fornisca una specifica notifica almeno 1 anni prima di interrompere il supporto nel caso in cui non sia disponibile alcun software o servizio sostitutivo.

Ecco la lista dei più importanti prodotti che saranno ritirati in corso del 2020, ma coperti dalla Modern Policy.
Windows Server 1809 (Datacenter Core, Standard Core): 14 aprile 2020
Windows Server 1903 (Datacenter, Standard, IoT Enterprise): 8 dicembre 2020
Windows 10 1709 (Enterprise, Education, IoT Enterprise): 14 aprile 2020
Windows 10 1809 (Home, Pro, Pro for Workstation, IoT Core): 14 aprile 2020
Windows 10 1803 (Enterprise, Education, IoT Enterprise): 10 novembre 2020
Windows 10 1903 (Enterprise, Home, Pro, Pro for Workstations, IoT Enterprise): 8 dicembre 2020

Sotto invece l'elenco dei software che andranno in EOL quest'anno, ma che sono coperti dalla cosiddetta "Fixed Policy": parliamo di software disponibili al dettaglio o in forma di licenza a volumi, che vedono garantiti almeno 10 anni di supporto.

Office 2010 (tutte le edizioni), Word 2010, Excel 2010, Excel Home and Student 2010, Office Home & Business 2016 per Mac, Office Home & Student 2016 per Mac e Office Standard 2016 per Mac: 13 ottobre 2020
Hyper-V Server 2008, Hyper-V Server 2008 R2 : 14 gennaio 2020
Internet Explorer 10: 31 gennaio 2020

Fine del supporto e assenza del programma ESU per:
SharePoint Server 2010: 13 ottobre 2020
Office 2010: 13 ottobre 2020
Exchange Server 2010: 14 gennaio 2020

Rimandiamo ovviamente alle pagine ufficiali dei prodotti Microsoft per ulteriori informazioni e approfondimenti e anche per l'individuazione delle migliori soluzioni sostitutive.

Il 2020 si preannuncia come un anno molto molto impegnativo per aziende, governi e anche semplici cittadini: si apre infatti una nuova era di minacce emergenti. Gli attaccanti hanno a disposizione (fortunatamente non solo loro) una nuova arma, l'intelligenza artificiale. L'AI infatti è già stata, e sarà sempre più, molto utile per la costruzione di strategie di cyber guerriglia che massimizzino l'impatto degli attacchi e per neutralizzare le difese informatiche dei target.

Oltre all'impiego dell'AI, si prevedere che i cyber criminali useranno nuove tecniche di attacco, i cui primordi sono già stati visibili negli ultimi mesi del 2019. Ecco le previsioni degli esperti di Seqrite per il 2020.

1. Aumento degli attacchi di "web skimming"
Per web skimming si intende il tentativo di furto dei dati delle carte di credito che gli utenti inseriscono nei form di pagamento dei siti di e-commerce al momento dell'acquisto di un bene o servizio. L'attaccante inietta nel sito una stringa di codice (Javascript), che si "impossessa" dei moduli di pagamento: tutti i dati inseriti dall'utente saranno quindi catturati e inviati all'attaccante.

Il 2019 ha visto il protagonismo assoluto di Magecart, un gruppo di cyber attaccanti specializzato proprio in furto dei dati delle carte di credito: centinaia sono stati i siti di e-commerce colpiti, centinaia di migliaia i dati rubati. Tra le vittime illustri anche British Airways, Ticketmaster e diverse catenee alberghiere e di ristorazione internazionali.

2. A.A.A BlueKeep cercasi
Di BlueKeep, vulnerabilità di livello critico dei sistemi RDP di Windows abbiamo già parlato, qui e qui. Per adesso i codici exploit dei quali si ha notizia consentono di portare attacchi DoS solo sulla macchina della vittima, ma è quasi sicuramente solo questione di tempo prima che gli attaccanti scoprano nuovi modi per sfruttare appieno questa vulnerabilità: ricordiamo che BlueeKeep consente la creazione di malware "wormable", cioè che possono diffondersi lateralmente nelle reti. Quando ciò sarà possibile, i cyber attaccanti potranno quindi, con un solo punto di accesso colpire l'intera rete e anche più reti.

N.B: la patch per BlueKeep è disponibile: installatela per voi e per i vostri clienti, mettendovi al riparo da una minaccia che ha, almeno in teoria, lo stesso potenziale di infezione e attacco del celeberrimo ransomware WannaCry (che, ricordiamo, si diffuse grazie a EternalBlue, una vulnerabilità molto simile a BlueKeep).

Qui le linee guida di Microsoft sulla problematica >> https://bit.ly/2WcJ7rI

3. Deepfake per le cyber truffe
Per deepfake si intende la creazione di video o audio fake / manipolati riguardanti una persona tramite l'impiego di tecnologie di deep learning: uno strumento dal grande potenziale per i cyber attaccanti. Immaginate quanto diverrà facile, con questa tecnologia, organizzare una truffa del CEO, nella quale grazie ad un video deepfake un attaccante potrà convincere un dirigente o un dipendente di una azienda a trasferire somme di denaro. Il problema in realtà si è già posto, tanto da obbligare la Polizia Postale Italiana a lanciare l'allarme.

Per approfondire >> Deepfake: manipolazione video e intelligenza artificiale al servizio del crimine

4. Attacchi APT contro infrastrutture critiche
APT sta letteralmente per "Advanced Persistent Threat": trattasi di una specifica tipologia di attacchi mirati e persistenti. Recentemente, ha avuto risalto sulla stampa globale un attacco APT molto pericoloso, quello che ha colpito la centrale nucleare di Kudankulam in India. Ci aspettiamo un incremento di attacchi di questo tipo, sopratutto contro infrastrutture pubbliche come reti di trasporti, centrali elettriche e di energia in generale, sistemi di telecomunicazione ecc...

Una caratteristica specifica di questi attacchi è che possono rimanere nascosti per giorni, persino mesi mentre vengono trafugate ingenti quantità di dati critici e confidenziali.

5. Il 5G porta con sé..nuovi attacchi!
Con la rete 5G tutto, proprio tutto, dalla macchina al frigorifero, avrà accesso ad una connessione ad alta velocità. Non serve neppure elencare gli enormi vantaggi che deriveranno da questa nuova tecnologia, mentre può essere utile ricordare che, di contro, i cyber attaccanti potranno contare su nuovi potenziali punti di accesso ad alta velocità. Il problema è aggravato dal fatto che le funzioni principali del 5G dipendono dal software piuttosto che dall'hardware, fatto che lo rende vulnerabile a molteplici tipologie di attacco. La sicurezza dei dati e la privacy degli utenti saranno messe a dura prova.

6. Aumento degli attacchi contro Windows 7
Il 14 Gennaio 2020 cesserà ufficialmente il supporto di Microsoft per Windows 7: non vi saranno quindi più update e patch di sicurezza per gli utenti. Eppure Windows 7 resta uno dei sistemi operativi più diffusi al mondo. Sono nell'ultimo trimestre del 2019 abbiamo registrato che il 67% degli attacchi ha colpito Windows 7 e siamo piuttosto certi che il livello andrà a crescere nel 2020, mano a mano che verranno a mancare gli aggiornamenti di sicurezza.

Vedi il resto delle previsioni per il 2020 nel report completo di Seqrite >> http://bit.ly/2rngji4

GIOVEDÌ 9 GENNAIO 2020
Nel 2019 i Quick Heal Security Labs hanno individuato circa 639.000 malware per Android, una media di 73 orari. Tra questi, le categorie malware più individuate sono stati gli adware (125.000 nel 2019) e le cosiddette PUA (applicazioni potenzialmente indesiderate), 360.000 l'anno.

In questo articolo rendiamo una breve panoramica dei malware per Android più pericolosi, individuati nel 2019. Il report completo, comprese alcune previsioni per il 2020 stante i dati emersi sul 2019, è disponibile qui >> http://bit.ly/2Qzziic

Highlights

Statistiche di individuazione per categorie di malware

La top 10 dei Malware per Android
Il grafico mostra i malware col più alto numero di individuazioni registrate nel 2019: sotto, in breve, la descrizione dei top 10 malware per Android

1. Android.Agent.GEN14722
Livello di Rischio: alto
Categoria: malware
Metodo di propagazione: app store di terze parti
Comportamento:
una volta eseguito, nasconde la propria icona ed opera in background;
scarica ulteriori app dannose dal proprio server C&C;
alcune delle app dannose scaricate dal malware rubano i dati delle vittime.
2. Android.Bruad.A
Livello di Rischio: medio
Categoria: PUA
Metodo di propagazione: app store di terze parti
Comportamento:
una volta installato, nasconde la propria icona;
mostra numerosi ads;
sottrae informazioni come codice IMEI, IMSI, numero del modello e location e le invia ad un server remoto.
3. Android.Smsreg.EH
Livello di Rischio: medio
Categoria: PUA
Metodo di propagazione: app store di terze parti
Comportamento:
invia IMEI e IMSI del dispositivo a numeri a pagamento via SMS;
raccoglie le informazioni del dispositivo come tipo e versione di SDK, compagnia telefonica, numero di telefono ecc...
tutti i dati raccolti sono inviati ad un server C&C
Segnalazioni importanti
WhatsApp: falla nelle chat di gruppo manda in crash l'app e fa sparire la cronologia
Pegasus, lo spyware che ficca il naso ovunque (ma non se hai Quick Heal!)

MERCOLEDÌ 8 GENNAIO 2020
Nel 2019 i Quick Heal Security Labs hanno individuato 2.979.000 malware per Windows, una media di 124,136 malware all'ora. Tra questi, 4.5 milioni erano ransomware, 125 gli exploit, 16 milioni gli attacchi di cryptojacking (l'infezione di macchine per generare criptovaluta), 114 milioni i worm. I trojan si confermano la categoria di malware più individuata, rappresentando il 45% del totale delle individuazioni e confermando il trend degli scorsi anni.

In questo articolo rendiamo una breve panoramica dei malware per Windows più pericolosi, individuati nel 2019. Il report completo, comprese alcune previsioni per il 2020 stante i dati emersi sul 2019, è disponibile qui >> http://bit.ly/2Qzziic

Highlights

Statistiche di individuazione per categorie

Statistiche di individuazione per funzione di protezione

° Scansione in Tempo Reale:
la scansione in tempo reale verifica i file in cerca di virus e malware ogni volta che questo viene ricevuto, aperto, scaricato, copiato o modificato.
° Scansione On Deman
scansiona i dati a riposo, o i file non usati attivamente.
° Sistema di Individuazione Comportamentale:
individua e elimina le minacce sconosciute in base al comportamento che mostrano sulla macchina.
° Scansione di Memoria:
scansiona la memoria in cerca di programmi dannosi in esecuzione e li elimina.
° Scansione Email:
blocca le email che distribuiscono allegati infetti o link compromessi, siti fake o di phishing.
° Scansione Sicurezza Web:
individua automaticamente siti web potenzialmente dannosi e vi impedisce la navigazione.
° Scansione di Rete:
la scansione di Rete (IDS / IPS) analizza il traffico di rete per individuare cyber attacchi e bloccare pacchetti distribuiti verso il sistema.

La top 3 dei malware
Il grafico mostra i malware col più alto numero di individuazioni registrate nel 2019: sotto, in breve, la descrizione dei top 3 malware per Windows.

1. LNK.Cmd.Exploit.F
Livello di Rischio: alto
Categoria: trojan
Metodo di propagazione: allegati email, siti web compromessi
Comportamento:
usa cmd.exe per eseguire ulteriori file dannosi;
esegue simultanamente un file VBS con un file dannoso .exe. Il file VBS usa il protocollo di mining Stratum per generare criptovaluta Monero.
2. Trojan.Starter.YY4
Livello di Rischio: alto
Categoria: trojan
Metodo di propagazione: allegati email, siti web compromessi
Comportamento:
crea processi per eseguire il file eseguibile del malware;
modifica le impostazioni del registro e, talvola, porta al crash di sistema;
scarica ulteriori malware, sopratutto keylogger;
rallenta l'avvio del sistema e termina processi legittimi in esecuzione;
consente agli attaccanti di rubare informazioni sensibili dal sistema: mira sopratutto ai dettagli delle carte di credito e debito.
3. W32.Pioneer.CZ1
Livello di Rischio: medio
Categoria: file infector
Metodo di propagazione: drive di rete o removibili
Comportamento:
il malware inietta il codice nei file presenti sul disco o sulle condivisioni di rete;
decripta una DLL dannosa contenuta nel file quindi la salva sul sistema;
la DLL avvia una serie di attività dannose e raccoglie informazioni che poi invia al proprio server di C&C.

La città di New Orleans sta lentamente tornando alla normalità, dopo aver subito un attacco ransomware di ampia portata che ha colpito le infrastrutture IT della municipalità costringendo allo shut down di computer, sistemi e server della città.

Kim LaGrue, Chief Information Officer di New Orleans ha fatto sapere che le prime attività sospette sono state registrate già alle 5 del mattino di Venerdì scorso. Alle 8 del mattino, quando gli impiegati hanno effettuato l'accesso ai propri pc, si è verificato un vero e proprio picco di individuazioni di attività sospette ed è iniziata immediatamente una verifica dello stato di reti e sistemi. Intorno alle 11, 11.30 circa è stato confermato, anche a mezzo stampa, che la città era sotto attacco ransomware e che i partner statali e federali erano già stati allertati. E' stato diramato quindi l'ordine, a tutti i dipendenti, di spegnere e disconnettere i computer dal sistema pubblico del Municipio. Anche i server della città sono stati spenti. Sono rimasti attivi e funzionanti soltanto i servizi di emergenza come L'emergency Operation Center, il 911, il Dipartimento dei Vigili del Fuoco, il Dipartimento di Polizia ecc..

La nota di riscatto che non c'è
Una particolarità, confermata anche in conferenza stampa dal Sindaco di New Orleans LaToya Cantrell, è che non è stata ritrovata nessuna nota di riscatto sui sistemi infetti e non ci sono state nemmeno richieste di riscatto pervenute in forme alternative. Non è ancora chiaro se ciò sia avvenuto per precisa scelta degli attaccanti o se la nota non si sia generata in tempo, prima della disconnessione di computer e server (operazione che ha mitigato non poco i danni e stroncato il propagarsi del ransomware).

Quale ransomware è stato usato?
La redazione di Bleeping Computer, data l'assenza di note ufficiali che indicassero esplicitamente la variante di malware usata, ha contattato gli sviluppatori di Maze, un ransomware del quale abbiamo già parlato spesso perchè protagonista ricorrente di questa ondata di attacchi ransomware che sta bersagliando enti pubblici, ospedali, scuole (ne parliamo poco più avanti) e aziende, anche in Italia.

Ma gli sviluppatori di Maze hanno negato categoricamente il loro coinvolgimento in questo attacco.

Il giorno dopo l'attacco, il 14 Dicembre, il servizio di scansione VirusTotal riceve alcuni campioni di file criptati e vengono inoltre caricati alcuni dump di memoria relativi a file eseguibili sospetti: l'indirizzo di upload è un IP negli Stati Uniti. Uno di questi dump, come ha mostrato il ricercatore Colin Cowie, contiene numerosi riferimenti alla città di New Orleans e ad un ransomware preciso, Ryuk.

I dump di memoria sono una fotografia della memoria usata da un applicazione mentre questa è in esecuzione: vi si possono estrarre molte informazioni utili, file name, comandi, stringhe ecc... Il dump analizzato da Cowie, relativo ad un file eseguibile di nome 'yoletby.exe' contiene numerosi riferimenti alla città di New Orleans, inclusi domain name, domain controller, indirizzi IP interni, nomi utenti, condivisioni di rete ecc... vi si trovano riferimenti all'editing del file name con l'estensione .ryk e alla creazione di una nota di riscatto RyukReadMe.html

Dall'incrocio di alcuni dump di alcuni campioni caricati su Virus Total, è stato individuato l'eseguibile responsabile dell'infezione della città di New Orleans: rinominato v2.exe, una volta eseguito installa il ransomware Ryuk sui sistemi.

Una vera e propria cyber guerra
L'attacco alla città di New Orleans è stato preceduto di qualche giorno da un altro attacco ransomware che ha colpito la città di Pensacola, in Florida. Poco tempo prima era finita nel mirino la Jackson County in Georgia. Lo scorso mese l'ufficio delle operazioni automobilistiche della Louisiana ha subito lo stesso destino.

Per approfondire > Ransomware & città criptate: cosa sta accadendo negli Stati Uniti?

Dal Gennaio 2019 sono state ben 1039 le isitituzioni scolastiche colpite da ransomware negli Stati Uniti, 72 i distretti scolastici / istituti educativi che hanno riportato pubblicamente l'incidente. 11 dei 72 distretti colpiti hanno visto i propri sistemi infetti a partire dalla seconda metà di Ottobre: il risultato è stato di 266 scuole colpite.

La situazione è così grave che il Senato degli Stati Uniti ha approvato il 'DHS Cyber Hunt and Incident Response Teams Act', una legge per autorizzare il Dipartimento di Sicurezza Nazionale (DHS) ad organizzare e mantenere team di cyber "cacciatori" e esperti di sicurezza IT per individuare i cyber attaccanti e aiutare sia gli enti pubblici che i privati a difendersi dai ransomware e da altri tipi di cyber attacchi. Il team di risposta fornirà consiglio e supporto tecnico in dettaglio su come migliorare le proprie difese e rafforzare i sistemi IT contro ransomware e altre tipologie di malware molto diffuse. I due team saranno finanziati a livello federale.

E' in diffusione in questi giorni una nuova variante della famiglia di ransomware Buran: la nuova versione, chiamata Zeppelin, è stata individuata nel corso di attacchi reali contro aziende statunitensi ed europee. Nessuna campagna massiva di email vettore per questo ransomware, che anzi, viene distribuito quasi esclusivamente tramite attacchi mirati.

Buran è una famiglia di ransomware della quale abbiamo già parlato, che ha debuttato come ransomware as a service (RaaS) , pubblicizzato dal Maggio 2019 su molteplici forum di hacking in lingua russa. Il "business" funziona bene, gli affiliati sono già centinaia: il RaaS Buran infatti garantisce ben il 75% di guadagno dal pagamento del riscatto per gli affiliati, riservando invece per i propri operatori solo un 25%. Da Maggio sono state rilasciate almeno tre nuove varianti della famiglia, Vegalocker e Jamper, quindi la versione attualmente in distribuzione, Zeppelin appunto.

Zeppelin in dettaglio
Qualche giorno fa è stato pubblicato, da parte di BlackBerry Cylance, un approfondimento su Zeppelin. I ricercatori spiegano come questo ransomware sia usato in attacchi mirati contro aziende sanitarie e IT, in alcuni casi anche di alto profilo, ma si delinea anche un nuovo filone di attacchi che mira agli MSP (Managed Service Provider): un sistema "ottimo" per poter diffondere ulteriormente il ransomware sfruttando i software di assistenza remota in uso in tutti gli MPS.

Le modalità di diffusione potrebbero essere molteplici: una certa è l'attacco ad aziende che hanno server di Desktop Remoto esposti pubblicamente in Internet.

Come spesso accade per quei ransomware proveniente dai paesi dell' Ex Unione Sovietica, anche Zeppelin verifica le impostazioni linguistiche del sistema sotto attacco, terminando le operazioni se l'azienda target risulta in Russia, Ucraina, Bielorussia o Kazakistan. Se, invece, nel sistema viene individuata una lingua diversa da quelle elencate, il ransomware, per prima cosa, terminerà molteplici processi inclusi quelli collegati a database, backup e mail server.

La particolarità è che, quando cripta i file, Zeppelin non aggiunge una estensione propria al file né ne modifica il nome: inserirà, tuttavia, un marcatore nel file, chiamato appunto Zeppelin, che può essere circondato da simboli differenti a seconda dell'editor hex in uso e del formato del carattere in uso.

Fonte: bleepingcomputer.com

La nota di riscatto è chiamata !!! ALL YOUR FILES ARE ENCRYPTED !!!.TXT e contiene le informazioni di pagamento e i contatti degli attaccanti.

Fonte: bleepingcomputer.com

Attualmente non c'è modo di decriptare i file senza pagare il riscatto, in quanto non è stata individuata alcuna vulnerabilità nell'algoritmo di criptazione. La buona notizia è che, per quanto questo ransomware stia prendendo campo, non è paragonabile ad altri ransomware come Ryuk o Maze in termini di ampiezza della scala di distribuzione.

Il builder degli affiliati
Ulteriori analisi hanno condotto il ricercatore di sicurezza Vitali Kremez a rintracciare il builder per Zeppelin che viene utilizzato dagli affiliati alla famiglia Buran per costruire differenti tipi di payload. Il payload può essere impostato in vari formati come .exe, .dll, .ps1 ecc... in base a quello più adatto secondo la tipologia di attacco che l'affiliato vuole portare.

Fonte: bleepingcomputer.com
Il builder permette persino la personalizzazione della nota di riscatto, strumento molto utile per quegli affiliati che preferiscono gli attacchi mirati rispetto a quelli che colpiscono "nel mucchio".

Il Cert-PA e la compagnia di cyber sicurezza Yoroi hanno diramato due diversi alert riguardanti campagne di diffusione malware via email rivolte contro utenti italiani. Una prima campagna diffonde il trojan Emotet tramite caselle di Posta Elettronica ordinaria. La seconda invece diffonde il trojan Ursnif tramite false comunicazioni di noti Corrieri quali GLS. Vediamole in dettaglio:

1. La campagna di diffusione di Emotet
la rilevazione è avvenuta ad opera del Cert-PA, che ha individuato una campagna di email di spam con riferimenti al Ministero dell'Economia e Finanze (MEF) e all'Ispettorato Generale di Finanza (IGF), un portale che ospita vari applicativi correlati alle funzioni di vigilanza.

Il corpo email contiene un link che, all'apparenza, sembra condurre ad un documento istituzionale del MEF: in realtà reindirizza verso un dominio compromesso nel quale è in download un file .doc che ha funzioni di downloder del malware Emotet. Il tutto avviene tramite traffico SSL, così le parti di codice e i componenti dannosi del malware supereranno almeno i livelli basilari di sicurezza.

Fonte: https://www.cert-pa.it/

Inutile dire quanto sia "azzeccata e pericolosa" la scelta di utilizzare riferimenti al MEF in termini di possibilità per l'attaccante di indurre e indirizzare le azioni della vittima. La catena di infezione si avvia quando l'utente, una volta scaricato il documento dannoso, lo apre e abilita la macro contenuta: a questo punto viene scaricato ed eseguito in locale un file PE che conduce all'installazione di Emotet.
Il malware Emotet
E' un trojan modulare sviluppato per rubare informazioni bancarie o finanziarie come le credenziali di accesso all'home banking o i wallet di criptovalute. Oltre a ciò, esfiltra dati sensibili, credenziali di login di svariate tipologie di servizi e informazioni personali. Non viene mai da solo, anzi, funge da distributore di altri trojan bancari, malware per il furto dati o bot modulari altamente personalizzabili come Trickbot. Emotet gestisce una botnet come malware-as-a-service (MaaS), affittabile nel dark web e che quindi mette in condizione i cyber criminali di poter affittare una imponente infrastruttura per diffondere nuovi malware.

Per approfondire >> L'evoluzione di Emotet: da trojan a complesso distributore di minacce

2. La falsa email del corriere consegna Ursnif
Yoroi ha individuato una campagna di email di malspam rivolta contro aziende italiane. Le email truffaldine simulano comunicazioni relative a fatture o documenti di carico o status di invio di noti corrieri espresso italiani. Tutte le email contengono un documento Excel compromesso, pensato per attivarsi solo ed esclusivamente su macchine sulle quali è impostato l'italiano come lingua di sistema.

L'excel contiene la solita macro dannosa, la cui abilitazione comporta l'installazione di Ursnif.

Ursnif in breve:
Con Ursnif si indica una famiglia di trojan pensati per rubare informazioni personali e dati relativi alla macchina e al sistema operativo della vittima. Questi dati vengono raccolti e inviati al server di comando e controllo gestito dagli attaccanti. Spesso installa anche backdoor sul sistema infetto, così da garantire all'attaccante la possibilità di eseguire comandi da remoto per svolgere ulteriori attività dannose. Mira sopratutto alle credenziali bancarie/finanziarie e agli accessi su vari tipi di account (social, email o di vari servizi online).

Per approfondire >> Ursnif, il malware che minaccia l'Italia: vediamolo da vicino