Evoluzione delle minacce informatiche nel primo trimestre del 2017

Contenuti

Il quadro della situazione

Attacchi mirati e campagne malware

Altri wiper in azione

Lo scopo perseguito dalle campagne malware basate su attacchi informatici particolarmente mirati consiste, in genere, nel realizzare il furto di dati sensibili. L’obiettivo, tuttavia, non è sempre questo. Talvolta, gli attacker cancellano direttamente i dati presi di mira, invece di cercare di ottenere l’accesso alle informazioni confidenziali; altre volte, poi, essi si prefiggono entrambi gli scopi. Abbiamo di fatto osservato, in questi ultimi anni, numerosi attacchi wiper. Citiamo, tra questi, Shamoon (ugualmente conosciuto come “Disttrack”), che si ritiene sia stato utilizzato, nel 2012, per cancellare i dati custoditi in oltre 30.000 computer appartenenti alla società Saudi Aramco – e Dark Seoul, impiegato nel corso dell’attacco condotto nei confronti di Sony Pictures nel 2013.

Evoluzione delle minacce informatiche nel primo trimestre del 2017

Shamoon 2.0 è ricomparso nel mese di novembre del 2016, ed ha iniziato a bersagliare organizzazioni operanti in vari settori cruciali e vari settori economici dell’Arabia Saudita. Finora, sono state da noi rilevate tre distinte ondate di attacchi, da parte del malware Shamoon 2.0, attivatesi, rispettivamente, il 17 novembre 2016, il 29 novembre 2016 ed il 23 gennaio 2017.

I nuovi attacchi evidenziano numerose similarità con l’analoga ondata di assalti che ha avuto luogo in precedenza, ma sono comunque caratterizzati, adesso, dall’impiego di nuovi tool e nuove tecniche. Gli attaccanti iniziano con l’ottenere le credenziali di amministratore del network preso di mira. In seguito, essi creano un programma wiper “personalizzato” (Shamoon 2.0), che sfrutta tali credenziali per diffondersi ampiamente all’interno dell’organizzazione, attraverso il lateral movement. Infine, in una data predefinita, il wiper si attiva, rendendo le macchine infette del tutto inutilizzabili. La fase finale dell’attacco risulta completamente automatizzata, senza che si riveli necessaria, quindi, alcuna comunicazione con il centro di Comando e Controllo (C2) allestito dagli aggressori.

Shamoon 2.0 include ugualmente un modulo ransomware pienamente funzionale. Quest’ultimo, tuttavia, deve essere ancora utilizzato “in the wild”; non sappiamo, pertanto, se gli attacker intendano utilizzare tale componente della piattaforma malware per ottenere dei profitti finanziari, oppure per conseguire eventuali scopi idealistici.

Nel condurre le indagini riguardo agli attacchi Shamoon, abbiamo scoperto un malware di tipo wiper in precedenza sconosciuto. Questo malware, da noi battezzato con il nome di StoneDrill, sembra prendere di mira, anch’esso, organizzazioni situate sul territorio dell’Arabia Saudita. StoneDrill evidenzia diverse analogie di “stile” con Shamoon, e presenta molteplici tecniche e fattori di particolare interesse, appositamente implementati per cercare di eludere in maniera ancor più efficace il possibile rilevamento. Una delle vittime del nuovo wiper, osservata attraverso il Kaspersky Security Network (KSN), risulta ubicata in Europa (ed opera nel settore petrolchimico). Questo ci induce a ritenere che il threat actor che si cela dietro al malware StoneDrill stia di fatto estendendo le proprie operazioni di “wiping” oltre i confini del Medio Oriente.

Evoluzione delle minacce informatiche nel primo trimestre del 2017

La differenza più significativa che emerge, tra i due malware in questione, riguarda proprio il processo di wiping (cancellazione dei dati) da essi implementato. Shamoon, in effetti, fa uso di un disk driver per accedere direttamente al disco, mentre StoneDrill inietta il modulo wiper direttamente all’interno del browser preferito della vittima.

StoneDrill condivide ugualmente molteplici similarità con un gruppo APT conosciuto come NewsBeef (noto anche con l’appellativo di “Charming Kitten”), così denominato per l’utilizzo, da parte dello stesso, del potente Browser Exploitation Framework (BEeF). Tali somiglianze comprendono, in particolar modo, note firme WinMain ed OS, comandi di update e nomi relativi ai server C2. Non si sa, per il momento, se i gruppi che si celano dietro Shamoon e StoneDrill siano, in pratica, la stessa entità, oppure se tali raggruppamenti – qualora fossero distinti – siano semplicemente allineati in termini di interessi e di regioni geografiche da essi presi di mira; riteniamo, da parte nostra, che la teoria più plausibile possa essere la seconda.

Evoluzione delle minacce informatiche nel primo trimestre del 2017

Oltre al modulo wiper, StoneDrill comprende anche una backdoor, che è stata utilizzata per condurre operazioni di spionaggio nei confronti di vari target.

Il report completo stilato dagli esperti di Kaspersky Lab in merito a Shamoon 2.0 e StoneDrill può essere consultato qui. Abbonandosi al nostro servizio APT Intelligence Reporting, è possibile ottenere l’accesso alle indagini da noi condotte e alle scoperte effettuate dai nostri esperti man mano che esse si producono; questo fornisce, inoltre, l’opportunità di poter visionare dati tecnici completi.

EyePyramid

Come abbiamo visto in precedenza, per avere successo, le campagne basate sugli attacchi mirati non hanno bisogno di essere tecnicamente avanzate. Nel mese di gennaio 2016, l’arresto di due persone sospette da parte della polizia italiana ha portato alla luce una serie di cyber-attacchi che hanno bersagliato importanti personaggi politici, banchieri, massoni e membri delle forze dell’ordine.

Il malware utilizzato negli attacchi, denominato “EyePyramid”, si è rivelato essere tutt’altro che sofisticato; nonostante ciò, tale software malevolo ha avuto sufficientemente “successo”, visto che ha consentito agli attaccanti di ottenere l’accesso a tutte le risorse presenti sui computer delle loro vittime. Le indagini svolte dalla polizia hanno rivelato l’effettiva esistenza – nel server utilizzato per ospitare il malware – di ben 100 vittime attive; sono state tuttavia trovate indicazioni riguardo al fatto che gli attacker, nel corso degli ultimi anni, avevano complessivamente preso di mira circa 1.600 vittime. Le vittime in questione – situate prevalentemente in Italia – comprendevano, tra l’altro, studi legali, servizi di consulenza, università ed anche cardinali del Vaticano.

Evoluzione delle minacce informatiche nel primo trimestre del 2017

Il report stilato, nella circostanza, dalle forze di polizia italiane non includeva dettagli tecnici riguardo alle modalità di diffusione del malware; il documento rivelava esclusivamente come i malintenzionati avessero fatto ricorso a pratiche di spear-phishing. Tale report, ad ogni caso, ha identificato un certo numero di server C2 e di indirizzi e-mail utilizzati dagli aggressori per esfiltrare i dati rubati. Utilizzando queste informazioni, abbiamo creato una regola YARA, basata su indirizzi di posta elettronica personalizzati, server C2, licenze relative alla libreria di posta personalizzata di cui hanno fatto uso gli attacker, e specifici indirizzi IP impiegati nel corso dell’attacco. Successivamente, abbiamo “lanciato” la stessa attraverso i nostri sistemi, per vedere se vi fosse qualche matching con uno dei sample conosciuti. La nostra regola YARA iniziale ha evidenziato ben due sample, i quali ci hanno permesso di creare una regola YARA ancor più specifica, grazie alla quale abbiamo potuto identificare altri 42 sample presenti nella nostra “collezione”. Un’ulteriore ricerca ha poi svelato altri interessanti dettagli riguardo al malware EyePyramid. Gli attacchi si basavano su metodi di ingegneria sociale, utilizzati per indurre le vittime ad aprire e lanciare l’esecuzione di file infetti, allegati alle e-mail di spear-phishing. Nella fattispecie, gli allegati utilizzati si sono rivelati essere degli archivi ZIP e 7ZIP, contenenti il malware. Gli attaccanti hanno poi fatto ricorso a molteplici spaziature per cercare di mascherare l’estensione del file; tale elemento sottolinea, di per se stesso, il basso livello di sofisticazione degli attacchi eseguiti.

Sulla base dei time-stamp di compilazione dei sample, che sembrano peraltro essere legittimi, risulta che la maggior parte dei sample utilizzati negli attacchi è stata compilata nel periodo 2014-15.

Evoluzione delle minacce informatiche nel primo trimestre del 2017

Appare quindi del tutto evidente come i cybercriminali possano avere “successo” anche quando il malware da essi utilizzato non si rivela né sofisticato, né particolarmente difficile da rilevare. A partire dal basso livello di OPSEC (operational security, sicurezza operativa) applicato nell’ambito della campagna malevola realizzata (ad esempio l’utilizzo di indirizzi IP associati alla propria azienda, oppure il discutere delle proprie vittime tramite semplici chiamate telefoniche, o facendo al limite uso di WhatsApp) – traspare in tutta chiarezza come gli attaccanti qui descritti fossero, di fatto, dei dilettanti. I due malintenzionati sono stati comunque in grado di “operare” per molti anni, riuscendo a carpire interi gigabyte di dati alle loro vittime.

Il report completo stilato dai nostri esperti riguardo ad EyePyramid può essere visionato qui.

Spezzare l’anello più debole della “catena” più forte e resistente

Verso la metà del 2016, sono stati presi di mira, da un threat actor particolarmente astuto, più di 100 militari israeliani. L’attacco ha compromesso i dispositivi in possesso di questi ultimi, esfiltrando poi i dati verso il server C2 predisposto dagli attacker.

Il C4I dell’IDF (Israeli Defense Forces, Forze di Difesa Israeliane) e l’unità dell’IDF denominata Information Security Department, assieme ai ricercatori di Kaspersky Lab, hanno ottenuto un elenco delle vittime; si sono rivelate essere, tutte quante, dei militari dell’IDF, in servizio attorno alla striscia di Gaza.

Questa campagna, che a giudizio degli esperti si trova ancora nelle sue fasi iniziali, prende di mira i dispositivi provvisti di sistema operativo Android. Una volta che il dispositivo è stato compromesso, ha inizio uno specifico e sofisticato processo di raccolta di dati e informazioni, il quale sfrutta le funzionalità audio e video del telefono, le funzioni SMS e la posizione stessa dell’apparecchio.

Nel loro complesso, tuttavia, gli attacchi in questione si dimostrano tutt’altro che sofisticati; essi si basano fortemente sul dispiegamento di tecniche di ingegneria sociale. Gli attaccanti cercano di indurre le loro vittime ad installare un’applicazione malevola, mentre cercano di continuo, al tempo stesso, di acquisire informazioni confidenziali utilizzando i social network: il gruppo sembra particolarmente attivo su Facebook Messenger. La maggior parte degli avatar utilizzati dagli aggressori (i partecipanti virtuali alla fase di social engineering dell’attacco) cerca di attirare le proprie vittime con l’inganno, attraverso l’utilizzo di temi a sfondo sessuale: viene ad esempio richiesto, alla vittima, di inviare foto esplicite, mentre, in cambio, vengono trasmesse foto fasulle di ragazze teen-ager. Gli avatar fingono di provenire da vari paesi, quali Canada, Germania, Svizzera ed altri ancora.

La vittima viene così indotta ad effettuare il download di un’app da un URL malevolo. L’applicazione, da parte sua, raccoglie i dati custoditi sul telefono della vittima, incluso le informazioni di carattere generale (operatore di rete, posizione GPS, IMEI, etc.), contatti, cronologia del browser, messaggi SMS, foto. L’app maligna è ugualmente in grado di registrare video e file audio.

Evoluzione delle minacce informatiche nel primo trimestre del 2017

L’IDF, che ha condotto le indagini del caso unitamente ai ricercatori di Kaspersky Lab, ritiene che si tratti soltanto del “primo colpo” di una campagna di più vaste dimensioni, appositamente progettata per catturare dati sensibili riguardo alla distribuzione delle forze di terra, alle tattiche e agli equipaggiamenti utilizzati dall’IDF – così come per raccogliere informazioni di intelligence in tempo reale.

Il report completo da noi stilato riguardo alla campagna malware sopra descritta può essere consultato qui.

L’impersistenza della memoria

Nel corso delle operazioni che caratterizzano le attività di “incident response”, volte a fornire un’adeguata risposta a seri incidenti informatici, gli specialisti di sicurezza IT sono costantemente in cerca di qualsiasi elemento che gli attaccanti possano essersi lasciati alle spalle, nel network della vittima. Tutto questo comprende l’ispezione dei file di log, la ricerca di determinati file sull’hard disk, l’esame del registro di sistema ed il controllo della memoria.

Tuttavia, ognuno di tali possibili elementi ha una diversa “durata di conservazione”: in altre parole, gli eventuali indizi potranno essere a disposizione dell’analista di malware per un periodo di tempo più o meno lungo, a seconda della loro specifica location. I dati memorizzati su un disco rigido rimarranno probabilmente a disposizione dell’analista forense per un lungo periodo di tempo: tuttavia, come abbiamo visto nel caso specifico di Duqu 2.0, un malware particolarmente sofisticato potrebbe deliberatamente rimuovere tutte le tracce presenti sull’hard drive dopo la propria installazione, lasciando se stesso, in pratica, soltanto nella memoria. È proprio questo il motivo per cui le indagini forensi condotte a livello di memoria si rivelano davvero fondamentali per quel che riguarda l’analisi del malware e delle funzionalità di cui esso dispone.

Un altro importante aspetto di un attacco informatico è indubbiamente rappresentato dai tunnel installati dall’attacker di turno all’interno della rete presa di mira. I cybercriminali (quali, ad esempio, Carbanak e GCMAN) potrebbero utilizzare PLINK, per questo preciso scopo; Duqu 2.0, da parte sua, ha fatto uso di un driver speciale.

Nelle nostre previsioni per l’anno 2017 abbiamo ben sottolineato il fatto che ci attendiamo di assistere ad un incremento del numero di infezioni informatiche di natura passeggera, generate da un tipo di malware residente in memoria, concepito per effettuare generiche operazioni di ricognizione e per la raccolta furtiva delle credenziali relative all’utente-vittima, un malware apparentemente senza alcun interesse riguardo alla propria persistenza nel sistema. In ambienti altamente sensibili, dove il fattore “furtività” si rivela essenziale, gli attacker potrebbero ad esempio accontentarsi di agire solo fino al momento in cui il malware viene eliminato dalla memoria durante il riavvio del sistema, poiché questo riduce sensibilmente le probabilità che il malware possa essere rilevato, e che l’operazione condotta, di conseguenza, possa essere compromessa.

Nel corso di una recente operazione di risposta ad un serio incidente informatico, i nostri esperti hanno notato che, nell’ambito di un attacco diretto ad una banca, erano stati implementati sia del malware residente in memoria, sia il relativo tunneling; e tutto questo utilizzando semplicemente alcune utility standard di Windows, quali SC e NETSH. La minaccia era stata scoperta, originariamente, dal team di sicurezza IT allestito dalla banca stessa, dopo che tali esperti avevano rilevato il codice Meterpreter all’interno della memoria fisica di un controller di dominio. Abbiamo preso parte all’analisi forense che è seguita al rilevamento effettuato, ed abbiamo in tal modo scoperto l’utilizzo di script PowerShell all’interno del registro di Windows. Nell’occasione, abbiamo ugualmente scoperto che l’utility NETSH veniva utilizzata per il tunneling del traffico dall’host della vittima al C2 allestito dall’attaccante.

Evoluzione delle minacce informatiche nel primo trimestre del 2017

Tutti i dettagli relativi all’indagine da noi svolta sono disponibili qui.

Utilizzando il Kaspersky Security Network abbiamo individuato più di 100 reti aziendali infettate da script PowerShell dannosi, insediatisi nel registro di sistema.

Evoluzione delle minacce informatiche nel primo trimestre del 2017

Non sappiamo, di fatto, se tutte le reti siano state infettate o meno dallo stesso identico attacker. Nel corso dell’analisi eseguita relativamente alla banca sottoposta ad attacco, abbiamo scoperto che i malintenzionati avevano utilizzato vari domini di terzo livello, e domini situati nei ccTLD (country code Top Level Domains, domini di primo livello nazionali) .GA, .ML e .CF. L’indubbio vantaggio, per gli attaccanti, derivante dall’utilizzo di simili domini è che questi ultimi sono gratuiti, e non contemplano, per di più, le informazioni WHOIS dopo la relativa scadenza. Il fatto che gli attacker abbiano utilizzato il framework Metasploit, alcune utility standard di Windows, e domini sconosciuti privi di qualsiasi informazione WHOIS, rende in sostanza quasi impossibile ogni tentativo di attribuzione. I gruppi più “vicini”, dotati delle stesse TTP (Tactics, Techniques & Procedures), sono indubbiamente Carbanak e GCMAN.

Tecniche del genere stanno sicuramente divenendo sempre più comuni, soprattutto nel quadro degli attacchi informatici rivolti alle istituzioni finanziarie. L’esfiltrazione dei dati può essere realizzata mediante l’impiego di utility standard, e di alcuni specifici “trucchi”, senza che si riveli necessario, quindi, ricorrere all’utilizzo di programmi malware. Attacchi effimeri del genere evidenziano più che mai la necessità di avvalersi di sofisticate tecnologie proattive nell’ambito delle soluzioni anti-malware, come avviene, ad esempio, nel caso di System Watcher di Kaspersky Lab.

KopiLuwak: un nuovo payload JavaScript firmato Turla

Turla, noto gruppo APT di lingua russa (conosciuto anche con varie altre denominazioni, quali “Snake”, “Uroburos”, “Venomous Bear” e “KRYPTON”), risulta attivo almeno sin dal 2007 (e forse lo è anche da prima). Le attività da esso condotte sono emerse in numerosi incidenti di alto profilo, compreso l’attacco lanciato nel 2008 nei confronti del Comando Centrale degli Stati Uniti (incidente definito come Buckshot Yankee), e, più di recente, l’attacco portato ai danni della società elvetica RUAG, contractor del Ministero della Difesa svizzero. Le molteplici attività svolte dal gruppo Turla sono state oggetto di discussione in numerose occasioni (vedi qui, qui, qui e qui). Il gruppo APT in causa ha intensificato le proprie attività nel 2014, prendendo di mira l’Ucraina, istituzioni correlate all’Unione Europea, governi di paesi UE, ministeri degli Esteri (su scala globale), società operanti nella sfera dei media, e vari obiettivi, situati in Russia, presumibilmente collegati ad episodi di corruzione. Nel 2015 e nel 2016 il gruppo ha poi ulteriormente diversificato le proprie attività, passando, di fatto, dal framework Epic Turla, specializzato nel watering-hole, al framework Gloog Turla, il quale risulta ancora attivo. Nel frattempo, il raggruppamento ha ugualmente ampliato le proprie attività di spear-phishing con gli attacchi Skipper / WhiteAtlas, nel corso dei quali è stato fatto uso di nuovo malware. Recentemente, il gruppo Turla ha inoltre intensificato di ben dieci volte, rispetto alla media riscontrata per il 2015, le proprie registrazioni C2 basate su connessione Internet satellitare.

Nello scorso mese di gennaio, John Lambert, di Microsoft, (@JohnLaTwC) ha twittato riguardo all’esistenza di un documento malevolo preposto a generare il download di “una backdoor .JS davvero molto interessante“. Sin dalla fine di novembre 2016, Kaspersky Lab ha osservato l’utilizzo, da parte di Turla, di questo nuovo payload in formato JavaScript, e di una specifica variante di macro. Si tratta di una tecnica da noi individuata in precedenza relativamente ai payload “ICEDCOFFEE” di Turla (descritta in dettaglio in un report privato risalente al mese di giugno 2016, disponibile per i clienti dei Kaspersky APT Intelligence Services). Mentre il metodo di distribuzione si presenta per certi versi simile a quello di ICEDCOFFEE, il JavaScript differisce invece in maniera considerevole, e sembra essere stato creato soprattutto per evitare il rilevamento da parte delle soluzioni di sicurezza IT.

I target presi di mira da questo nuovo malware appaiono conformi e compatibili con le precedenti campagne condotte dal gruppo Turla, visto che la “new entry” .JS si focalizza, in particolar modo, sui ministeri degli Affari Esteri, ed altre organizzazioni governative situate in vari paesi europei. La frequenza degli attacchi, tuttavia, è molto più bassa rispetto a quella fatta registrare da ICEDCOFFEE, poiché, complessivamente, il numero delle organizzazioni-vittima, almeno fino al mese di gennaio 2017, è risultato essere ad una sola cifra. Siamo fermamente convinti del fatto che, in futuro, questo nuovo JavaScript verrà utilizzato in misura sensibilmente maggiore, proprio in qualità di meccanismo iniziale di distribuzione del malware e di “profiler” della vittima.

Il malware in causa si rivela essere piuttosto “semplicistico”, ma notevolmente flessibile in termini di funzionalità possedute; esso esegue un batch standard di comandi di profilazione della vittima e, al tempo stesso, consente agli attaccanti di eseguire comandi arbitrari via Wscript.

Dettagli tecnici completi riguardo a KopiLuwak possono essere reperiti qui.

Il documento diffuso dai malintenzionati contiene una macro dannosa, molto simile alle macro utilizzate in precedenza da Turla per recapitare agli utenti-vittima Wipbot, Skipper e ICEDCOFFEE. Il gruppo APT Turla, come vediamo, continua a fare affidamento, in maniera assidua, su macro malevole incorporate in appositi documenti Office. Potrebbe sembrare, a prima vista, una tattica piuttosto semplice, se non “rudimentale”, per un attacker talmente sofisticato; essa, tuttavia, ha contribuito in maniera importante alla compromissione, da parte di tale attore APT, di target particolarmente “pregiati”. Desideriamo pertanto consigliare alle società, e alle organizzazioni in genere, di disattivare le macro, e di non consentire ai propri dipendenti di abilitare simili contenuti, a meno che ciò non si riveli assolutamente necessario.

Evoluzione delle minacce informatiche nel primo trimestre del 2017

Il documento “esca” qui sopra riportato è costituito da una lettera ufficiale inviata dall’Ambasciata del Qatar in territorio cipriota al Ministero degli Affari Esteri di Cipro. In base alla denominazione del documento, “National Day Reception (Dina Mersine Bosio Ambassador’s Secretary).doc”, si può presumere che lo stesso sia stato inviato dalla Segreteria dell’Ambasciatore del Qatar al Ministero degli Affari Esteri; questo può forse indicare che il gruppo Turla aveva già assunto il controllo di almeno un sistema informatico all’interno della rete diplomatica del Qatar.

La miglior difesa contro gli attacchi mirati è rappresentata da un approccio multilivello, che combini le tradizionali tecnologie anti-virus con la gestione delle patch, un sistema di rilevamento delle intrusioni basato su host ed una strategia di whitelisting, fondata sullo scenario default-deny. Secondo uno studio condotto dall’Australian Signals Directorate, addirittura l’85% degli attacchi mirati oggetto di analisi avrebbe potuto essere bloccato e neutralizzato mediante l’adozione congiunta di quattro semplici strategie di mitigazione: whitelisting delle applicazioni, aggiornamento delle applicazioni, aggiornamento dei sistemi operativi, restrizione dei privilegi di amministratore.

Le “storie” di sicurezza IT più significative del trimestre

Un tempo si diceva: “O la borsa o la vita!”. Ora, invece, si intima: “O i soldi o i tuoi file!”

Nel diciottesimo secolo, i viaggiatori che percorrevano le strade della Gran Bretagna (o di altri paesi) potevano correre il rischio di essere assaliti da qualche bandito – di solito un brigante che fermava le carrozze che percorrevano le pubbliche vie, e chiedeva poi, a tutti coloro che si trovavano a bordo, di consegnare il loro denaro, o altri oggetti di valore. Nell’occasione, il furfante di turno pronunciava la fatidica frase intimidatoria: “O la borsa o la vita!”. Il ransomware può essere paragonato ad una sorta di versione, dell’era digitale, delle rapine che venivano un tempo compiute dai banditi di strada. L’evidente differenza consiste nel fatto che, con i malware estorsori, sono i nostri dati ad essere tenuti in ostaggio, mentre la richiesta di pagamento del riscatto, effettuata dai malintenzionati, viene oggi mostrata sullo schermo di un computer.

Nel corso del 2016 sono stati registrati oltre 1.445.000 attacchi ransomware, condotti sia nei confronti delle imprese, sia ai danni di singoli utenti privati. L’enorme crescita del ransomware, alla quale abbiamo assistito in questi ultimi anni, viene costantemente alimentata dal notevole “successo” ottenuto dai cybercriminali attraverso questa singolare tipologia di malware: il ransomware, in effetti, può essere agevolmente monetizzato, e richiede, per di più, un basso costo di investimento, per ogni singola vittima.

Delle 62 nuove famiglie di crypto-ransomware da noi scoperte lo scorso anno, almeno 47 sono state sviluppate da cybercriminali di lingua russa. Non a caso, in febbraio abbiamo pubblicato un dettagliato report sull’economia ransomware in Russia. È del tutto evidente come lo sviluppo del ransomware sia sostenuto da una sorta di ecosistema underground particolarmente flessibile e user-friendly, il quale consente ai criminali di poter lanciare temibili campagne di attacco con qualsiasi livello di conoscenza informatica e di risorse finanziarie a loro disposizione. I nostri ricercatori hanno identificato tre diversi livelli di coinvolgimento criminale, nell’ambito del “business” illecito alimentato dalle pratiche ransomware.

Il primo step riguarda la creazione ed il successivo aggiornamento di intere famiglie di programmi ransomware. Tutto questo richiede, indubbiamente, capacità avanzate a livello di scrittura del codice; coloro che partecipano a tale fase sono, di sicuro, i membri maggiormente privilegiati dell’underground in cui prospera il ransomware, visto che essi rappresentano, in pratica, l’elemento chiave dell’intero ecosistema criminoso. Il secondo livello concerne lo sviluppo ed il supporto di appositi programmi di affiliazione, progettati allo scopo di distribuire il ransomware. Questo viene fatto tramite particolari community criminali che provvedono alla diffusione del ransomware mediante l’utilizzo di strumenti ausiliari, quali gli exploit kit e lo spam. Il terzo livello si riassume nella partecipazione, in veste di partner, a tali programmi di affiliazione. Coloro che risultano coinvolti in simili attività occupano, in pratica, il gradino più basso dell’ipotetica scala; il ruolo da essi svolto consiste nell’aiutare i proprietari dei programmi di affiliazione a diffondere il malware, in cambio di una certa percentuale sui proventi illeciti realizzati: nella fattispecie, gli unici requisiti richiesti sono rappresentati dalla precisa volontà di compiere attività illegali, e dal denaro occorrente per aderire allo schema di affiliazione.

Siamo riusciti ad identificare vari gruppi – di considerevoli dimensioni – di criminali informatici russofoni, specializzati nello sviluppo e nella distribuzione dei crypto-ransomware. Questi raggruppamenti potrebbero a loro volta riunire decine di partner diversi, ognuno dei quali ha in atto il proprio programma di affiliazione. Nell’elenco degli obiettivi da essi presi di mira troviamo non solo i singoli utenti, ma anche imprese di piccole e medie dimensioni, e, al tempo stesso, grandi società. Mentre, inizialmente, bersagliavano solo organizzazioni situate sul territorio della Federazione Russa, queste gang cybercriminali stanno ora dirigendo le loro attenzioni verso società e compagnie ubicate in altre parti del mondo. Gli introiti giornalieri di un programma di affiliazione possono di fatto raggiungere le decine, se non le centinaia di migliaia di dollari: di tali cospicue cifre, circa il 60 percento rimane nelle tasche dei malfattori, come profitto netto.

Nel mese di marzo abbiamo riferito riguardo ad una nuova famiglia di ransomware, denominata PetrWrap, utilizzata per la conduzione di attacchi mirati contro organizzazioni di vario genere. Una volta messo piede all’interno della rete informatica di cui è provvista la società target, gli attaccanti utilizzano lo strumento PsExec per installare il ransomware su tutti i computer. Un aspetto particolarmente interessante di questo nuovo malware estorsore è rappresentato dal fatto che gli attacker ricorrono all’utilizzo del noto ransomware Petya per codificare i dati. Sebbene Petya faccia uso di un modello “Ransomware-as-a-Service”, gli estorsori non si sono comunque avvalsi di tale specifica opportunità. Questi ultimi inseriscono, invece, un sample del ransomware Petya all’interno della sezione dati del malware, ed utilizzano Petya per infettare i computer delle loro vittime. Uno speciale modulo “corregge”, in pratica, il ransomware originale Petya “on the fly”. Questo consente agli attacker di nascondere il fatto che essi stanno usando proprio Petya.

Gli attacchi ransomware mirati, condotti nei confronti di società ed organizzazioni, stanno divenendo sempre più comuni e frequenti. In genere, i gruppi che ricorrono all’utilizzo del ransomware nell’ambito degli attacchi informatici mirati, cercano di individuare dei server vulnerabili, oppure server con accesso RDP non protetto. Dopo essere penetrati all’interno della rete IT dell’organizzazione sottoposta ad attacco, essi ricorrono all’utilizzo di speciali framework, come ad esempio Mimikatz, per ottenere le credenziali necessarie per l’installazione del ransomware su tutta la rete. Per proteggersi da tali attacchi, le organizzazioni debbono necessariamente mantenere aggiornato il software installato sui server, utilizzare password sicure per i sistemi di accesso remoto, installare soluzioni di sicurezza sui loro server, ed avvalersi, inoltre, su tutti i propri endpoint, di soluzioni di sicurezza IT dotate di specifici componenti per il rilevamento comportamentale.

L’Internet delle Cose… “rotte”

Vi ricorderete, probabilmente, che nel mese di ottobre 2016, i cybercriminali hanno utilizzato una botnet composta da dispositivi domestici connessi ad Internet (quali telecamere IP, DVR, telecamere CCTV e stampanti) per lanciare un imponente attacco DDoS. Per far questo, gli attaccanti hanno in primo luogo infettato i dispositivi vulnerabili con il malware Mirai. Tale operazione ha assunto un particolare rilievo non solo perché in essa è stato fatto un uso a dir poco improprio dei dispositivi IoT (Internet of Things), ma anche perché il traffico DDoS così generato ha superato qualsiasi altro volume fatto registrare in precedenza. L’assalto DDoS in questione ha messo in pratica fuori uso una significativa porzione di Internet, e si è rivelato talmente grave da far sì che fossero avviate apposite indagini da parte dell’FBI e del Department of Homeland Security (DHS, Dipartimento della Sicurezza Interna statunitense). In quel preciso momento, questi ultimi non avevano escluso la possibilità che si trattasse di attività condotte da uno stato nazionale, vista l’elevata potenza complessiva sprigionata dalle botnet Mirai. Tuttavia, l’entità di tali attacchi, per quanto notevole, non richiedeva, di fatto, lo specifico operato di uno stato nazionale. Sarà poi il tempo a dire se gli stati nazionali sceglieranno o meno di nascondere “in bella vista” le loro attività “distruttive” nell’ambito dell’Internet delle Cose: esistono chiaramente, a tal riguardo, potenzialità effettive. Potrebbe quindi essere possibile vedere uno stato nazionale tentato dal rendere inutilizzabili vaste aree di Internet, usando proprio questo particolare toolset, ancora in età, per così dire, “giovanile”.

Nel mese di febbraio abbiamo esaminato determinati report riguardanti il malware – di tipo cross-platform, basato su Win32 – preposto alla diffusione di Mirai, e la relativa botnet in the wild. Alcune delle pubbliche discussioni intervenute in materia suggerivano il fatto che si stesse diffondendo, in quel momento, un bot IoT completamente nuovo, verso i/dai dispositivi Windows. L’effettiva situazione, in realtà, non si è poi rivelata essere in questi termini: di fatto, una botnet Windows, già attiva in precedenza, sta diffondendo, adesso, una variante del bot Mirai. Sino a gennaio, comunque, non avevamo ancora visto tale variante dello spreader (diffusore) realizzare la distribuzione dei downloader di Mirai. Questo bot Windows, di per se stesso, non è tuttavia nuovo. Occorre inoltre rilevare come il metodo adottato dal bot Windows per distribuire Mirai presenti dei limiti ben precisi: in effetti, esso recapita i bot Mirai, da un host Windows ad un host Linux, esclusivamente nel caso in cui venga compiuto, con esito positivo, un attacco brute-force nei confronti di una connessione telnet remota.

Non abbiamo quindi rilevato un “salto” particolarmente significativo dal bot Mirai destinato a Linux a quello riservato, invece, all’OS Windows. Siamo comunque in presenza di una nuova, seria minaccia, e ci troviamo di fronte all’utilizzo di Windows per diffondere Mirai verso risorse in precedenza non disponibili. In particolare, possono rappresentare un problema i server SQL vulnerabili dotati di sistema operativo Windows, in quanto gli stessi possono risultare connessi ad Internet, e disporre quindi dell’accesso a tutta una serie di dispositivi “privati” collegati in Rete: telecamere IP, DVR, software per media center ed altri dispositivi interni.

È davvero un peccato vedere qualsiasi sorta di crossover Mirai tra le piattaforme Linux e Windows. Così come la release del codice sorgente del famigerato Trojan bancario Zeus ha portato, con sé, anni ed anni di seri problemi per la community online, anche la pubblicazione del codice sorgente del bot IoT Mirai causerà di sicuro notevoli problemi, negli anni a venire, alle infrastrutture di Internet. Per ora, siamo soltanto all’inizio.

In risposta all’enorme problema che tutto ciò rappresenta, per le attuali infrastrutture di Internet, nel corso degli ultimi mesi il nostro team ed il nostro CERT hanno preso parte a molteplici azioni di smantellamento di centri di comando e controllo C2. Tali operazioni hanno avuto buon esito; la stessa delicata situazione, affrontata in altra maniera, ha tuttavia posto dei problemi ai partner che forniscono semplicemente delle notifiche. Mentre alcuni ricercatori specializzati in sicurezza IT possono descrivere queste attività di smantellamento come qualcosa che può somigliare, fatte le debite proporzioni, alla semplice eliminazione di un neo, gli sforzi compiuti hanno di sicuro costituito motivo di notevole sollievo, per importanti reti informatiche, nei confronti di vere e proprie tempeste DDoS, dell’ordine di molti Gbps. Da parte nostra, siamo lieti di poter assistere, in qualità di partner, un numero ancora maggiore di operatori di reti informatiche, per utilizzare al meglio la collaborazione instaurata con numerosi CERT, con le forze dell’ordine ed altri partner situati in tutto il mondo, allo scopo di costruire, su queste basi, significativi successi.

Potete leggere qui l’intero report da noi stilato.

Questo attacco, al pari di altri in cui sono coinvolti dispositivi IoT compromessi, ha sfruttato il fatto che molte persone, quando acquistano un dispositivo “intelligente”, non cambiano le credenziali di default del produttore. Questo rende agevole l’accesso al dispositivo da parte di eventuali hacker, i quali non hanno da far altro se non provare la password di default conosciuta. Inoltre non esistono, per molti dispositivi, gli aggiornamenti del firmware. I dispositivi IoT rappresentano, per i cybercriminali, un bersaglio particolarmente attraente anche perché, spesso, sono provvisti di connettività 24/7.

Al giorno d’oggi, siamo sempre di più circondati da dispositivi “intelligenti”. È ormai “smart” un numero crescente di oggetti domestici di uso quotidiano: telefoni, televisori, termostati, frigoriferi, baby monitor, braccialetti fitness, persino i giocattoli per bambini. Fanno inoltre parte di tale categoria anche le auto, le telecamere CCTV di determinate apparecchiature mediche ed i parchimetri. Alcune abitazioni, adesso, vengono addirittura progettate con il concetto di “smartness” già incorporato. L’onnipresente Wi-Fi conduce poi online tutti questi dispositivi, come parte integrante dell’Internet delle Cose (IoT). Queste “Cose” vengono progettate per rendere la nostra vita più facile e comoda. Visto che gli oggetti della quotidianità sono ormai in grado di raccogliere e trasferire dati automaticamente, senza alcuna interazione umana, essi possono operare in maniera più efficace ed efficiente. Un mondo di oggetti di uso quotidiano sempre connessi, comporta, tuttavia, una maggiore superficie di attacco per i cybercriminali. A meno che i dispositivi IoT non siano sicuri, i dati personali da essi scambiati possono essere compromessi; tali dispositivi, inoltre, possono essere sottoposti ad attacco, oppure essere utilizzati in un attacco.

Uno dei maggiori problemi associati all’utilizzo dei dispositivi IoT è costituito dal fatto che questi ultimi sono, spesso, oggetti di uso quotidiano, che ci stanno fornendo utili funzionalità già da ben prima dell’avvento di Internet. In pratica, non riusciamo a vedere il computer che si cela dentro l’oggetto. Niente di più vero, in tal senso, per ciò che riguarda, ad esempio, i giocattoli per bambini. Riguardo agli smart toy, in effetti, nel corso degli ultimi due anni sono emerse, in varie occasioni, serie preoccupazioni legate alla sfera della sicurezza e della privacy (maggiori dettagli sono disponibili qui, qui e qui).

In Febbraio, ad esempio, sono sorte preoccupazioni del genere relativamente alla nota bambola smart chiamata My Friend Cayla. Proprio in ragione di tali problematiche, la Federal Network Agency tedesca (Bundesnetzagentur) – l’agenzia preposta, in Germania, alla regolamentazione e alla vigilanza nel settore delle telecomunicazioni – ha addirittura consigliato, ai genitori che avevano già acquistato la bambola, di “distruggere” lo smart toy in questione.

Il miglior consiglio per chiunque utilizzi, nella propria abitazione, dispositivi connessi/IoT è quello di fare in modo che le password di default vengano cambiate su tutti i dispositivi (scegliendo password univoche e complesse), per impedire l’accesso da remoto a tali dispositivi; questo riguarda anche i router domestici, che rappresentano, di fatto, il gateway per entrare nella rete domestica. Alla luce di tali elementi, potrebbe sorgere la tentazione, in molti, di disconnettere tutti i dispositivi; questo, però, non è realistico, nel sempre più connesso mondo odierno. Tuttavia, è sempre una buona idea rivedere le funzionalità di un dispositivo intelligente, e disabilitare, quindi, ogni funzione di cui non si abbia realmente bisogno. Ad ogni caso, una buona gestione delle password è già un notevole passo in avanti per mantenere i cybercriminali lontani dai vostri dispositivi. Questo genere di attacchi, condotti su larga scala, evidenzia anche la necessità, per i produttori, di prendere in considerazione la sicurezza già in fase di progettazione, piuttosto che avere ripensamenti ed intervenire in seguito.

Fughe di dati e data dump

Ci siamo ormai abituati, mese dopo mese, ad un flusso continuo di notizie relative ad incidenti di sicurezza IT caratterizzati da eclatanti fughe di dati, puntualmente riportate dai mass media. Anche il trimestre qui analizzato non ha di certo rappresentato un’eccezione, visto che si è verificata una consistente serie di attacchi del genere; citiamo, tra questi, gli attacchi subìti da Barts Health Trust, Sports Direct, Intercontinental Hotels Group ed ABTA.

Alcuni di tali incidenti hanno comportato il furto di dati sensibili, evidenziando, oltretutto, come molte società non adottino misure di sicurezza adeguate per proteggersi. Qualsiasi organizzazione che custodisca dati di natura personale è tenuta a proteggere gli stessi in maniera efficace. Questo può essere effettuato, in primo luogo, attraverso apposite procedure di hashing e salting delle password dei clienti, così come tramite la cifratura degli altri dati sensibili.

Dall’altro lato, gli utenti stessi possono contribuire in maniera considerevole a limitare i danni derivanti da una fuga di dati confidenziali, subita da un provider di servizi online, scegliendo password univoche e complesse: la password ideale è in effetti composta da almeno 15 caratteri, e comprende un insieme di lettere, numeri e simboli ricavati sfruttando tutto il complesso della tastiera. Una valida alternativa è costituita dall’utilizzo di una speciale applicazione per la gestione delle password, la quale permette di eseguire tutto questo in maniera automatica. È ugualmente una buona idea ricorrere all’utilizzo degli appositi sistemi di autenticazione a due fattori, nel caso in cui il fornitore di servizi online metta a disposizione dei propri utenti tale funzionalità di sicurezza – tramite la quale, per poter accedere ad un determinato sito web, oppure per apportare modifiche alle impostazioni del proprio account, viene richiesto, al cliente, di inserire un codice di sicurezza generato da un token hardware, oppure di introdurre un codice segreto appositamente trasmesso ad un dispositivo mobile.

Il fenomeno caratterizzato dal rendere di pubblico dominio informazioni sensibili (public dumping) si è progressivamente intensificato, nel corso di questi ultimi anni. Si tratta di una precisa tendenza, da noi prevista già nel 2015. “Hacktivisti”, criminali ed attacker sponsorizzati a livello di stati nazionali hanno abbracciato, allo stesso modo, la pratica relativa alla diffusione strategica di foto private, informazioni, elenchi di clienti e codici, allo scopo di gettare discredito sui propri target. Mentre alcuni di tali attacchi risultano strategicamente mirati, altri sono invece riconducibili a semplici episodi di opportunismo, in cui, per simulare una particolare abilità nell’hacking, vengono sfruttate determinate circostanze e situazioni, sempre caratterizzate da uno scarso livello di cyber-sicurezza.

Nello scorso mese di febbraio, con un’operazione definita con il nome in codice di “Vault 7”, WikiLeaks ha effettuato la release di oltre 8.000 documenti, nei quali vengono descritti tattiche e strumenti utilizzati per penetrare in determinati dispositivi informatici prodotti da vendor di primaria importanza, eludere le soluzioni di sicurezza installate e persino lasciare una scia di false flag. Il primo lotto di documenti rilasciati (datati tra il 2013 e il 2016) comprendeva documentazioni specifiche riguardo ai metodi adottati per compromettere i principali browser, così come smartphone e computer provvisti di sistema operativo Windows, Mac OS e Linux. I successivi dumping di dati si sono poi focalizzati sullo sviluppo di malware per compromettere firmware in esecuzione su Mac OS ed iOS, ed in special modo i firmware EFI ed UEFI, oltre che sui metodi applicati per eludere il rilevamento. Maggiori informazioni in proposito sono disponibili qui e qui.

Possiamo solo aspettarci che, in futuro, questa pratica continui a crescere in maniera significativa. Sia gli utenti privati, sia gli utenti corporate dovrebbero ricorrere all’utilizzo della crittografia per proteggere i dati sensibili e, allo stesso modo, dovrebbero assicurarsi di applicare gli aggiornamenti non appena gli stessi si rendono disponibili; tutto questo con il preciso scopo di ridurre le possibilità riguardo al fatto che i loro dati siano rubati o sottoposti ad operazioni di dumping online.

Post correlati

Lascia un commento

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *