rasomware
Il gruppo Lazarus si è sempre distinto per l’utilizzo di metodi caratteristici degli attacchi APT, sebbene specializzandosi nella criminalità informatica finanziaria. Recentemente, i nostri esperti hanno rilevato un nuovo malware VHD, mai riscontrato prima, e sembra che Lazarus lo stia provando.
Dal punto di vista funzionale, VHD è un tool ransomware abbastanza standard. Si insinua nei drive collegati al computer della vittima, cifra i file e cancella tutte le cartelle System Volume Information (sabotando così i tentativi di ripristino del sistema su Windows). Inoltre, può sospendere i processi che potrebbero potenzialmente proteggere i file importanti da modifiche (come Microsoft Exchange o SQL Server).
Ma ciò che è veramente interessante è il modo in cui VHD arriva sui computer obiettivi dell’attaccoo di perché le sue tecniche hanno vari aspetti in comune con gli attacchi APT. I nostri esperti hanno recentemente indagato su un paio di casi di VHD, analizzando le azioni dei cybercriminali in ognuno di essi.
Movimento laterale lungo la rete della vittima
Nel primo incidente, l’attenzione dei nostri esperti è stata attirata dal codice dannoso responsabile della diffusione del VHD sulla rete obiettivo. Si è scoperto che il ransomware aveva a disposizione gli elenchi degli indirizzi IP dei computer della vittima, nonché le credenziali per gli account con diritti di amministratore. Il ransomware ha utilizzato questi dati per perpetrare attacchi di forza bruta su un servizio SMB. Se il malware riusciva a connettersi alla cartella di rete di un altro computer mediante il protocollo SMB, allora poteva copiarsi avviarsi da solo, cifrando anche il dispositivo.
Tale comportamento non è molto tipico dei ransomware di massa. Suggerisce almeno una ricognizione preliminare dell’infrastruttura della vittima, che è più caratteristica delle campagne APT.
La catena di infezione
Nel secondo caso, quando il nostro Global Emergency Response Team ha individuato questo ransomware durante un’indagine, i ricercatori sono stati in grado di risalire all’intera catena di infezione. Come ci hanno riferito, ecco cosa hanno fatto i cybercriminali:
- Hanno ottenuto l’accesso ai sistemi delle vittime sfruttando un gateway VPN vulnerabile;
- Hanno ottenuto i diritti di amministratore sui dispositivi compromessi;
- Hanno installato una backdoor;
- Hanno hackerato il controllo del server Active Directory;
- Hanno infettato tutti i computer della rete con il ransomware VHD utilizzando un loader creato appositamente per questo scopo.
Un’ulteriore analisi dei tool utilizzati ha dimostrato che la backdoor fa parte del framework multipiattaforma MATA (che alcuni dei nostri colleghi chiamano Dacls). Abbiamo concluso che si tratta, quindi, di un altro tool di Lazarus.
Troverete un’analisi tecnica dettagliata di questi strumenti, insieme agli indicatori di compromissione, o nel relativo articolo sul nostro blog Securelist.
Come proteggere la vostra azienda
I creatori del ransomware VHD sono chiaramente superiori rispetto alla media quando si tratta di infettare i computer aziendali con un cryptor. Il malware non è generalmente disponibile sui forum dei cybercriminali, bensì è stato sviluppato appositamente per attacchi mirati. Le tecniche utilizzate per penetrare nell’infrastruttura della vittima e propagarsi all’interno della rete richiamano sofisticati attacchi APT.
Questo graduale assottigliamento dei confini tra i tool della criminalità informatica finanziaria e gli attacchi APT è la prova che anche le aziende più piccole devono prendere in considerazione l’impiego di tecnologie di sicurezza più avanzate. Tenendo presente questo aspetto, abbiamo recentemente presentato una soluzione integrata con funzionalità sia di Endpoint Protection Platform (EPP) che di Endpoint Detection and Response (EDR). Potete trovare maggiori informazioni sulla soluzione consultando la nostra pagina dedicata.
Consigli