PowerGhost: attenzione al mining fantasma

30 Lug 2018

I nostri esperti hanno scoperto di recente un miner maggiormente interessato alle reti aziendali. Grazie alla sua natura “fileless”, PowerGhost può accedere alla postazione di lavoro della vittima o al server senza essere notato. La maggior parte degli attacchi sono stati registrati in India, Turchia, Brasile e Colombia.

 

Dopo essersi insidiato nell’infrastruttura aziendale, PowerGhost prova a collegarsi agli account utente presenti nella rete servendosi del tool legittimo di gestione in remoto Windows Management Instrumentation (VMI). Il malware si appropria di username e password grazie a un tool di estrazione dati chiamato Mimikatz. Inoltre, il miner si può diffondere anche grazie a EternalBlue. l’exploit per Windows sfruttato dai creatori di WannaCry ed ExPetr. In teoria, questa vulnerabilità è risolta da un anno ormai, ma continua a dare i suoi frutti.

Una volta all’interno del dispositivo della vittima, il malware prova a potenziare i suoi privilegi di accesso sfruttando diverse vulnerabilità del sistema operativo (per i dettagli tecnici, potete leggere il nostro post su Securelist). Successivamente, il miner inizia a farsi strada all’interno del sistema e inizia la sua attività di mining occulto a favore dei suoi creatori.

Perché PowerGhost è pericoloso?

Come tutti i miner, PowerGhost utilizza le risorse computazionali per generare criptovaluta, il che inficia le prestazioni del server e dei dispositivi oltre a usurare entrambi, con conseguenti alti costi di sostituzione di questi importanti strumenti di lavoro.

In confronto ai programmi simili più diffusi, PowerGhost è più difficile da scoprire, in quanto non implica il download di file dannosi sul dispositivo; ciò vuol dire che può agire indisturbato per molto tempo su server e postazioni, senza che nessuno se ne accorga. I danni derivanti possono essere ingenti.

Inoltre, in una versione del malware i nostri esperti hanno scoperto un tool per attacchi DDoS. Se si usano i server della compagnia per bombardare una vittima, si può arrivare a rallentare o paralizzare le attività aziendali nel loro complesso. Una caratteristica interessante: il malware riconosce se si trova all’interno di un reale sistema operativo o in una sandbox, il che gli permette di bypassare i controlli delle soluzioni di sicurezza standard.

Come evitare PowerGhost

Per evitare che i dispositivi vengano infettati da PowerGhost e altri malware simili (e per proteggerli), dovreste seguire queste importanti regole di sicurezza della rete aziendale:

  • Non saltate gli aggiornamenti dei software e del sistema operativo. Tutte le vulnerabilità sfruttate dal miner sono state risolte dalle case produttrici da tempo. Chi si occupa di scrivere nuovi virus spesso si affida a exploit per i quali già esiste una soluzione;
  • Formate il personale in tematiche di sicurezza e fate in modo che le loro conoscenze in questo campo siano sempre le più attuali. La maggior parte degli incidenti informatici sono dovuti al fattore umano, non bisogna mai dimenticarlo;
  • Affidatevi a soluzioni di sicurezza affidabili dotate di tecnologia di analisi comportamentale (è l’unico modo per individuare le minacce fileless). I prodotti per aziende di Kaspersky Lab sono in grado di individuare sia PowerGhost e i suoi singoli componenti, sia altri programmi dannosi, compresi quelli non ancora conosciuti.