News

L’exploit pack RIG si perfeziona, mentre Neutrino è ormai finito nell’ombra

In questi ultimi mesi, gli esperti stanno osservando la progressiva migrazione delle campagne malware – nelle quali si ricorre all’utilizzo dei famigerati exploit pack – da Neutrino a RIG. Il ricercatore francese conosciuto con il nickname di “Kafeine” ha inoltre rilevato come lo scopo di tali attacchi sia rappresentato, sempre più di frequente, dalla diffusione di temibili Trojan bancari (ZeuS Panda, Gootkit, Betabot), e non tanto dalla distribuzione di programmi ransomware, come invece avveniva in precedenza.

Kafeine, nel suo post, ha ugualmente sottolineato il fatto che, nella circostanza, gli “operatori” che tengono le fila dell’exploit kit denominato RIG non hanno semplicemente occupato una nicchia lasciata vacante dalla marcata diminuzione delle attività condotte dai cybercriminali grazie a Neutrino (al quale, alla fine del mese di agosto, è stato inflitto un colpo decisivo da parte di Cisco, con il supporto di GoDaddy), ma stanno anche profondendo ogni possibile sforzo per consolidare la posizione di RIG sul mercato degli exploit pack. Le analisi condotte hanno evidenziato come RIG, adesso, faccia uso di un TDS interno (Traffic Distribution System), il quale consente, in pratica, di combinare vari payload nocivi all’interno di un unico flusso, variando gli stessi a seconda del tipo di sistema operativo e di browser sottoposti ad attacco, oppure in base all’ubicazione geografica della vittima – e permette, inoltre, di rendere molto più semplice il lavoro svolto quotidianamente con il traffic provider. La tecnologia TDS, secondo i dati forniti da Kafeine, ha fatto la sua comparsa sul mercato degli exploit kit con l’avvento di Blackhole, per poi scomparire dalla scena assieme ad Angler e Nuclear.

Lo scorso nove settembre, secondo quanto asserisce Kafeine, sulla scena underground della Rete è apparso un messaggio (su Jabber), riconducibile all’account del seller che forniva l’accesso a Neutrino: “we are closed. no new rents, no extends more” (“siamo chiusi. non si accettano nuove richieste di affitto, né estensioni dello stesso”). Verso la metà di settembre, i sistemi di monitoraggio implementati da Kafeine hanno individuato una nuova versione di RIG, caratterizzata da un metodo di offuscamento leggermente diverso (per quel che riguarda le landing pages), dall’impiego della codifica RC4 a livello di payload nocivo, da un comportamento simile a quello dell’EK Neutrino e dal dispiegamento di un ulteriore exploit, appositamente creato per sfruttare la vulnerabilità CVE-2016-0189. All’exploit pack RIG è stata ugualmente aggiunta un’apposita whitelist, riguardante gli indirizzi IP ai quali è consentita la chiamata delle relative API. Una simile misura preventiva è volta ad evitare il possibile rilevamento ed il conseguente blocco delle pagine contenenti gli exploit.

L’apparizione sulla scena del malware di una variante perfezionata di RIG (la versione VIP, così battezzata da Kafeine) sembra aver deciso in maniera ormai definitiva la sorte futura di Neutrino. Già attorno al 22 settembre scorso, negli ambienti underground della Rete non vi era più traccia di alcun annuncio o banner pubblicitario dedicato al kit di exploit in questione. Tuttavia, più o meno contemporaneamente, Kafeine individuava uno schema di infezione persistente, che vedeva il coinvolgimento di Neutrino; i suoi esecutori, evidentemente, non intendevano sacrificare gli abituali “servizi” in favore di RIG. La relativa campagna di malvertising veniva condotta sul territorio di Corea del Sud e Taiwan; il suo preciso scopo era rappresentato dalla distribuzione del cryptoblocker Cerber.

È del tutto possibile, sostiene Kafeine, che Neutrino sia stato semplicemente trasferito in una sorta di regime di utilizzo “privato”, come stiamo osservando attualmente per Magnitude, particolarmente attivo nei paesi asiatici. Gioca a vantaggio di tale supposizione anche il lungo intervallo che, nel corso del 2014, si è registrato relativamente all’attività di Neutrino; in tale anno, secondo Kafeine, l’exploit kit in causa è scomparso dall’arena di Internet nel mese di marzo, per poi riaffacciarsi sulla scena del malware nel successivo mese di dicembre.

Il picco di attività verificatosi, per RIG, nello scorso settembre è stato ugualmente rilevato da Heimdal Security e da parte del Centro SANS, specializzato nelle minacce Internet. In particolare, alla fine del mese scorso, i ricercatori dell’Internet Storm Center (ISC), struttura operante presso il SANS Institute, hanno osservato come gli autori della campagna malware Afraidgate, da essi monitorata, fossero passati dall’impiego di Neutrino a quello di RIG. Attualmente, nell’ambito di Afraidgate, l’obiettivo che si prefigge l’exploit è quello di diffondere l’ultima versione del famigerato ransomware Locky, denominata Odin dall’ISC SANS (in base alla nuova estensione assegnata ai file cifrati).

Malware.dontneedcoffee.com

L’exploit pack RIG si perfeziona, mentre Neutrino è ormai finito nell’ombra

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *

 

Report

Evoluzione dei malware mobile – 2016

Ha continuato a crescere in maniera davvero sensibile, nel corso del 2016, il numero dei Trojan pubblicitari in grado di utilizzare i diritti di superutente. Si è trattato, lungo tutto l’arco dell’anno, della minaccia informatica numero 1; al momento attuale non scorgiamo, peraltro, validi motivi ed argomenti che lascino intravedere qualche cambiamento riguardo a tale specifica tendenza.

Lo spam nell’anno 2016

Nel 2016, all’interno dei flussi di spam, si sono verificati diversi cambiamenti; tra di essi, quello più significativo riguarda il sensibile aumento del numero di mailing di massa preposte alla distribuzione dei temibili programmi ransomware. Considerando l’effettiva disponibilità, sul mercato nero, di simili software nocivi, è presumibile che tale tendenza continui a manifestarsi anche nell’anno in corso.

Kaspersky Security Bulletin 2016. Rassegna annuale. Le statistiche dell’anno 2016

Il 2016 è stato, nell’ambito della cyber sicurezza, un anno davvero intenso e turbolento, caratterizzato da imponenti botnet IoT, ransomware, attacchi mirati di cyber spionaggio, ingenti furti nella sfera finanziaria, “hacktivismo” e molto altro ancora. Il Kaspersky Security Bulletin 2016 e il report Statistics di Kaspersky Lab forniscono un quadro dettagliato della situazione; qui, invece, si può leggere l’Executive Summary.

Kaspersky Security Bulletin 2016. La rivoluzione del ransomware

Tra gennaio e settembre 2016 gli attacchi ransomware diretti alle imprese sono aumentati di tre volte, fino all’equivalente di un attacco ogni 40 secondi. Con il boom del ransomware-as-a-service, ed il lancio del progetto NoMoreRansom, Kaspersky Lab ha definito il ransomware come il proprio “tema chiave” per il 2016.

Iscriviti alle nostre e-mail settimanali

La ricerca più all'avanguardia, direttamente nella tua inbox