Stefano Benato

Stefano Benato

Meno ransomware e più "cocktail di malware"​!

Sull'argomento che sto per trattare sono usciti recentemente moltissimi articoli, in buona parte copiati e tradotti dall’inglese e contenenti, senza vie di mezzo, dettagli destinati a specialisti o all'opposto informazioni scontate. 

Ho così cercato di fornire un approfondimento per ricostruire l'evoluzione degli attacchi e le nuove modalità con cui si stanno organizzando i criminali informatici.

La combinazione sempre più furba di tecniche informatiche ed ingegneria sociale sta creando enormi problemi. A parte la recente comparsa o ricomparsa di numerosi trojan (l'articolo di Carola Frediani nella sua validissima newsletter settimanale "Guerre di Rete" cita qui i "malware che evolvono"), sono emerse nuove strategie di attacco da parte dei cyber criminali, che tendono ad abbandonare quelle incentrate sull'impiego di una singola minaccia (vedi ransomware usato principalmente fino ai primi mesi del 2018: gli hacker intervistati dicono che con quelli ora non si pagano più nemmeno le bollette), a favore di un "cocktail di malware" - combinazione di diversi tipi di virus e di attacco - mirati a raccogliere enormi quantità di dati ed informazioni di milioni di utenti.

Per i criminali, inoltre, trovare falle nella tecnologia è sempre più difficile hanno capito che attaccare la tecnologia è diventato sempre più difficile; per avere successo nei loro attacchi essi cercando quindi di sfruttare le debolezze del fattore umano (ingegneria sociale, appunto).

È emersa inoltre una nuova sinergia tra gruppi criminali che sempre più spesso condividono tra loro tecnologie e tecniche di attacco, barattando contemporaneamente i dati e le informazioni rubate alle vittime. Combinando le loro tattiche mettono così in atto attacchi con obiettivi multipli. 

Non a caso recentemente stiamo assistendo a ripetuti “data breach” (ndr incidenti di sicurezza) ed attacchi su larga scala a dispositivi (IOT), istituzioni ed aziende di qualsiasi dimensione, che vengono colpite con una certa facilità, perché l’idea vincente è di usare i database delle e-mail rubati dai computer e dai server attaccati, utilizzando le credenziali a loro volta rubate con la stessa tecnica. 

Una volta in possesso dei database di posta di una vittima, i criminali sfruttano i suoi vecchi scambi di posta:

 il “cocktail di malware” viene inviato come  allegato ad un messaggio che simula una risposta ad una precedente conversazione realmente avvenuta ed “archiviata”

In particolare, persone che hanno ruoli organizzativi, manageriali o esecutivi, consulenti esterni, commercialisti, avvocati… in questo contesto possono diventare un obbiettivo di attacco interessante per i criminali.

Una volta che i malintenzionati riescono a penetrare nel sistema di una vittima con ruoli di questo tipo, possono ottenere una via potentissima per violare intere organizzazioni, spostandosi lateralmente nel suo ecosistema di sicurezza, senza destare sospetti

… ecco spiegati i recenti “ data breach”!

Un esempio che può averti riguardato direttamente: potresti aver ricevuto un messaggio di risposta da un contatto che conosci, con scritto

Buongiorno, Vedi allegato e di confermare” 

con allegato un documento word come questo:

Se l’hai aperto, i dati ed il tuo PC sono già in ostaggio alla rete di criminali informatici! 

Si tratta di attacchi malware USRNIF (la prima versione, tradotta in italiano, che la nostra Control Room ha gestito risale al 15 marzo 2018). Io da allora questo malware l’ho battezzato: 

Buongiorno, Vedi allegato e di confermare” 

Contrariamente ai ramsomware che si facevano notare subito, rendendo illeggibili tutti i file della vittima entro pochi minuti, questo tipo di malware è subdolo: non fa vedere i suoi effetti, la vittima viene infettata, non se ne accorge e non avvisa nessuno. Così i cybercriminali ottengono a tua insaputa l’accesso remoto al tuo computer, alla tua rete avendone completamente il controllo!

Ecco cosa succede:

Tutto inizia da un e-mail che ricevi da un contatto conosciuto e fidato in risposta ad uno scambio di mail già iniziato (contenente messaggi che riconosci, avendoli scritti tu).

Vediamo un esempio reale:

Il cliente "Elisabetta" invia una richiesta di prezzi al suo fornitore abituale per questo tipo di materiale.

Il fornitore risponde alla mail di origine con la quotazione che il cliente riceve regolarmente:

I criminali informatici usando la corrispondenza rubata nel frattempo al fornitore (più avanti spiegherò come) spediscono dai loro server un e-mail (la mail originale attinente allo scambio di messaggi già iniziato in passato) in risposta al cliente, dove aggiungono in testa sempre la stessa frase:

“Buongiorno, Vedi allegato e di confermare”

e ci allegano un documento Word che contiene il malware dropper (ndr vettore che veicolerà un "cocktail di malware").

 

L’efficacia e la tecnica con cui è stato studiato questo attacco, in primis perché il messaggio corrisponde allo scambio di messaggi già avvenuto in precedenza, lo rende assolutamente credibile e porta i destinatari (anche i più attenti) ad aprire l’allegato Word, quindi a mandare in esecuzione il codice virale. I malintenzionati lo hanno talmente studiato bene al tal punto da indurre le vittime ad ignorare eventuali avvisi di sicurezza fino ad arrivare a rilasciare il file dalla quarantena dello spam ritenendolo lecito

Se il cliente quindi apre a sua volta il file word infetto, gli apparirà questa videata (una volta aperto il file word la frittata è fatta ed il pc è già compromesso!):

"cocktail di malware"

E non ti sei beccato il virus ma i virus! Perché solo aprendo l’allegato viene mandato in esecuzione in modo silente il codice malevolo che esegue il download del vettore (dropper) che a sua volta scaricherà un "cocktail di malware" (bombe) le quali si nascondono nel computer infettato della vittima, collezionando informazioni sulle applicazioni che stai utilizzando, i dati della  tua connessione internet, le password che si trovano in memoria o salvate dal browser, acquisisce schermate,  cattura tutto ciò che digiti sulla tastiera (keylogging), si intromette tra il browser e i siti di home banking per effettuare bonifici a tua insaputa (man-in-the-browser), ma specialmente cattura il database delle tue e-mail (di Outlook, ma non solo). 

La domanda che sorge spontanea quando ci si vede recapitare il "cocktail malware" è: Come hanno fatto i malintenzionati ad avere le mie mail, la mia corrispondenza?

Ecco spiegato:

  1. Il tuo conoscente (mittente) è stato infettato (ha ricevuto il “cocktail malware”) e di conseguenza i criminali hanno avuto accesso a tutti i suoi dati compreso tutta la posta elettronica e le conversazioni tra lui e te.
  2. Il tuo conoscente utilizzava una password debole, per cui i malviventi violandola hanno ottenuto semplicemente l’accesso al server che gestisce la sua posta, scaricando così tutte le conversazioni. 

Qui di seguito un immagine di un attacco ad un server di posta perpetrato dal 30 ottobre all’ 11 novembre 2018 da IP sempre diversi (per bypassare i sistemi di prevenzione dei firewall). 

I malintenzionati hanno poi utilizzato il database di posta, con le conversazioni scaricate, per sferrare attacchi USRNIF – EMOTET ... insomma “cocktail malware” - Buon giorno vedi allegato e di confermare- a tutti i contatti della rubrica della vittima, che a loro volta se infettati sono diventati inconsapevolmente attaccanti…

Una vera pandemia difficile da fermare in quanto il fenomeno si amplifica come una vera catena di S. Antonio! 

 

Unica barriera per servizi esposti in internet è utilizzare una password robusta o autenticazione a più fattori (come indicherò a breve in un articolo dedicato a questo ... stay tuned!)

Cosiderazioni curiose:

“Buongiorno, Vedi allegato e di confermare”  è la traduzione dall’inglese 

“Morning, please see attached and confirm”

all’estero ha colpito prima che non nel nostro paese. Da qui si può dedurre con ragionevole certezza che i  criminali informatici provengono da paesi esteri.

Ulteriore conferma di questo la si può dedurre da altri due aspetti:

1.    la traduzione italiana è un pochino sgrammaticata, avrebbero per esempio potuto tradurla in:

“Buongiorno, attendiamo gentilmente vostra conferma alla proposta allegata, grazie”, ma si vede che nel loro gruppo non c’è nessuno che ha abbastanza conoscenze della nostra lingua! 

2.  E' da quando ho gestito il primo attacco (15 marzo 2018) che mantengono sempre la stessa frase. Forse se la cambiassero più frequentemente avrebbero una percentuale di successo molto maggiore.  Questo suggerisce di mantenere alta l’attenzione verso nuove potenziali versioni dell’attacco.

Effetti collaterali e tecniche di evasione:

La nostra Control Room, che monitorizza le reti dei nostri clienti, ha notato che questi nuovi cocktail sono dotati di un modulo che cancella le tracce virali lasciate nei PC e server, per spostarsi lateralmente dentro la rete su dispositivi (meglio quelli accesi h 24) non dotati di particolari protezioni di sicurezza, quali : stampanti, telecamere per la video-sorveglianza, router, switch, access point, dove installano una shell per crearsi un ponte tra la vittima ed i loro server. Questi dispositivi solitamente sono dotati di password predefinite (admin, 12345, password ...) impostate dalla fabbrica e mai più cambiate. Si consiglia quindi di impostare password robuste anche per i dispositivi collegati internamente e se hai il sospetto che i criminali siano già dentro alla tua rete: riavviare, o spegnere e riaccendere i dispositivi, in modo da far sparire dalla memoria volatile lo strato software installato dagli attaccanti! 

Sapete quale tra i dispositivi sopra menzionati è quello preferito di malintenzionati? Le telecamere per la video-sorveglianza, perché hanno potenza elaborativa e tanta banda internet a disposizione!

I cybercriminali continueranno ad organizzarsi ed a modificare la sequenza dei comandi in modo da non offrire punti di riferimento relativi al comportamento, inoltre come si è visto nel corso del 2018 aggiungeranno sempre nuovi ingredienti al loro cocktail! 

Dietro ogni tecnologia c'è sempre una persona che la usa ... meglio se preparata.

mi piacerebbe avere un vostro parere ... tks

 
Venerdì, 23 Giugno 2017 11:33

RANSOMWORM Wannacry è solo l'inizio!

Venerdì, 23 Giugno 2017 11:31

I Comuni sotto attacco hacker

Giovedì, 22 Giugno 2017 16:59

Grazie fratelli Occhionero

Pagina 1 di 2