Targeted Ransomware: nuovi attacchi mirati e come proteggersi

Giampaolo Dedola, Senior Security Researcher GReAT Kaspersky, ci parla delle caratteristiche degli attacchi mirati, dei vettori di infezione e di quello che le aziende possono fare per proteggersi

Come vi ho raccontato nella prima parte di questo articolo, la minaccia ransomware esiste da diversi anni, ma di recente ha registrato un vero e proprio boom, prendendo di mira e colpendo tantissime organizzazioni di varie tipologie. Il termine “ransomware” identifica una precisa categoria di programmi dannosi, sviluppati appositamente per impedire l’accesso a determinati sistemi o file in cambio del pagamento di un riscatto.
Il mondo dei ransomware è in evoluzione costante, tanto che nel 2019 è emerso un nuovo trend, lanciato dal gruppo Maze: il gruppo non si limitava più alla sola cifratura dei file, ma rubava anche una grande quantità di dati. In caso di mancato pagamento del riscatto da parte della vittima, quindi, i dati non sarebbero solo stati illeggibili e inaccessibili, ma alcune informazioni sensibili sarebbero state pubblicate online. Un danno esponenzialmente più pericoloso per la singola azienda attaccata, se si considera che le informazioni pubblicate potrebbero rivelarsi critiche per la stessa operatività aziendale o contenere dati sensibili relativi a clienti, fornitori e dipendenti interni, diventando quindi potenzialmente sfruttabili anche per altre tipologie di attacco. Ad esempio, se un criminale informatico generico dovesse entrare in possesso di documenti d’identità o di buste paga dei dipendenti di una compagnia, potrebbe procedere anche con altri tipi di azioni, come il furto d’identità digitali o frodi.

Le caratteristiche degli attacchi con ransomware mirati

Questi tipi di attacchi si differenziano dai generici attacchi ransomware per alcune caratteristiche ben precise: prendono di mira un determinato target o una determinata realtà; presentano dei punti in comune con altre tipologie di cyberattacchi avanzati, come gli APT (Advanced Persistent Threat), ma sono anche simili a quelle che sono le normali attività di Penetration Testing, che, quando usate in maniera lecita, servono a verificare le criticità del livello di sicurezza dei sistemi all’interno dell’azienda.

L’anatomia di un attacco di tipo targeted ransomware è ormai chiara: l’attaccante prima si impegna in una fase di ricognizione, durante la quale cerca di ottenere informazioni sull’obiettivo da colpire (ad esempio, controlla quali sono i server raggiungibili dall’esterno, quali permettono l’exploit di vulnerabilità note, quali sono protetti da credenziali deboli; cerca anche alcune informazioni sui dipendenti e il personale che opera all’interno di una determinata realtà) in modo da capire quale può essere il vettore d’attacco più efficace, a seconda delle diverse caratteristiche dell’obiettivo. Lo scopo di questa prima fase è la compromissione di alcune macchine che fanno parte dell’infrastruttura presa di mira e che hanno visibilità su quelli che possono essere i sistemi interni. Queste prime macchine compromesse vengono usate poi come “teste di ponte” per dare il via a quelli che gli in genere chiamiamo “movimenti laterali” (quando gli attaccanti compromettono altri sistemi all’interno delle reti interne in modo tale da aumentare il controllo sull’infrastruttura presa di mira e facilitare il raggiungimento dell’obiettivo finale). Lo scopo principale è creare il maggior danno possibile, in modo tale da avere maggiori possibilità di ottenere il pagamento di un riscatto da parte della vittima. Molto spesso, durante lo svolgimento dell’attacco, i criminali tentano di prendere il controllo dell’infrastruttura, compromettendo i domain controller, dal quale è più facile ottenere informazioni utili alla distribuzione della minaccia ransomware su tutte le macchine, le quali vengono infettate contemporaneamente, determinando così una compromissione diffusa.

Strumenti e vettori d’infezione

Gli attaccanti utilizzano vari strumenti; alcuni sono leciti, come le utility per l’amministrazione dei sistemi ( ad esempio, la Sysinternal Suite di Microsoft), altri sono strumenti offensivi sviluppati per attività lecite quali i penetration test, ma che vengono sfruttati dai criminali per automatizzare le operazioni e migliorare l’efficienza dell’attacco (alcuni esempi sono i framework di post-exploitation, commerciali o free, come Empire, Cobalt Strike o Metasploit). Inoltre è comune l’utilizzo di tantissimi script, sia batch che PowerShell.

Identificare i vettori di infezione, quindi capire quali sono le tecniche che un attaccante può utilizzare per introdursi nell’infrastruttura, è particolarmente importante, perché può consentire di prevenire le fasi successive dell’attacco stesso. Come in moltissimi altri casi, una delle tecniche principali è quella dello Spear Phishing (comunicazioni inviate via email a determinati dipendenti, che spesso utilizzano tecniche di Social Engineering e che portano l’utente a fare il download e ad eseguire un oggetto malevolo). È molto comune anche lo sfruttamento di server vulnerabili, server cioè esposti online, non aggiornati, soggetti quindi a possibili exploit di vulnerabilità note, o di server non configurati correttamente o che utilizzano credenziali deboli.

Di solito gli attaccanti cercano di compromettere software per l’amministrazione da remoto, come VNC, SSH o RDP. Osservando l’andamento dei rilevamenti relativi ad eventi Bruteforce RDP tra febbraio e aprile 2020, ad esempio, si nota chiaramente un forte incremento delle attività a partire da marzo, soprattutto in paesi come l’Italia o la Spagna. Questo andamento non per forza deve essere messo in relazione esclusiva con il mondo degli attacchi ransomware, ma è lecito supporre che questa tipologia di attacchi abbia influito.

Un’altra tipologia di vettore d’infezione è rappresentata dagli MSP (Manager Service Providers), aziende che erogano dei servizi digitali, più o meno critici, a clienti che li scelgono perché non hanno all’interno le strutture o il personale adatto per portare avanti delle specifiche attività IT. Sono stati identificati diversi casi di compromissione di MSP da parte di attaccanti che utilizzavano un software di amministrazione remoto, di solito utile per erogare le attività di help desk, proprio per veicolare dei malware e compromettere così le macchine dei clienti dell’MSP con altro codice malevolo. Un altro caso ha mostrato come sia stata sfruttata, invece, la soluzione antivirus: i cybercriminali avevano compromesso il pannello di controllo usato dall’MSP che, invece di aiutare la protezione, veniva usato per distribuire il codice malevolo.

Da evidenziare che in questi casi i criminali non limitano gli attacchi alle aziende di grandi dimensioni, ma colpiscono anche piccole e medie imprese al quale vengono richieste somme inferiori, solitamente alcune decine di migliaia di euro.

Anche le credenziali rubate, spesso poco considerate, possono trasformarsi in un valido aiuto durante diverse fasi di attacco. Infatti sappiamo da tempo che il mondo del cybercrime è composto da una serie di individui che scambiano, tra loro e con altri, beni e servizi di vario genere. Soprattutto nel caso del così detto “cybercrime generico”, difficilmente un singolo attaccante si occupa di tutte le fasi di un attacco, ma ci sono diverse figure che si occupano di specifici aspetti (scrittura dei malware, infezione dei dispositivi, furto o rivendita dei dati).

In questo contesto si inseriscono veri e propri Marketplace, dove è possibile acquistare informazioni rubate relative a diversi tipi di servizi online. Genesis, ad esempio è un marketplace di questo tipo, si tratta infatti di un sito web analizzato dal GReAT di Kaspersky nel 2019 e focalizzato principalmente alla rivendita di informazioni utili soprattutto per aggirare i sistemi anti-frode delle banche, ma contiene al suo interno anche dati, rubati presumibilmente con componenti stealer, i quali includono combinazioni URL, username e password normalmente salvate negli applicativi browser.

Le credenziali quindi possono essere relative a servizi diversi e vanno dalle webmail agli applicativi interni delle aziende e le console di gestione di servizi critici. A tal proposito, vale la pena ricordare che in ambito Enterprise le credenziali di accesso alla webmail, spesso corrispondono alle credenziali di dominio utilizzate anche per accedere a sistemi aziendali. Oppure alcuni pannelli di gestione di alcune soluzioni di sicurezza vengono gestiti tramite interfacce web che talvolta sono anche accessibili da rete internet.

Questo scenario dovrebbe far riflettere sul rischio rappresentato anche dalle minacce generiche e di come i dati sottratti da malware come ad esempio i password stealer, potrebbero essere sfruttati per incidenti ben più critici.

Inoltre esistono delle evidenze che indicano una collaborazione tra chi perpetra attacchi ransomware mirati e il mondo del crimine informatico in genere: sono stati identificati, infatti, diversi casi di malware generici, nello specifico Banking Trojan, che ad un certo punto cominciavano a scaricare ed eseguire altro codice malevolo che portava, alla fine, all’infezione con ransomware legati ad attacchi mirati. È il caso del Trojan bancario TrickBot, che in un dato momento, dava il via ad un’infezione che portava al ransomware Ryuk, così come delle connessioni individuate tra altri malware (come Dridex o QakBot) con ransomware specifici per attacchi mirati (rispettivamente Doppelpaymer e MegaCortex).

Come proteggersi

La storia dei targeted ransomware, la loro evoluzione, il rapporto stretto con altri malware generici dimostra, una volta di più, che le aziende devono stare costantemente all’erta, devono mettere la cyber security tra le loro priorità, in modo da non ignorare o sottovalutare neanche le minacce generiche, perché possono trasformarsi molto facilmente in un incidente informatico più critico.

Affrontare questo tipo di minacce, infatti, è possibile, se si adottano una serie di contromisure che sono le stesse che si applicano in caso di attacchi di tipo APT: come prima cosa, è necessario migliorare il livello di sicurezza dei singoli endpoint, quindi assicurarsi del fatto che siano dotati di soluzioni tecnologiche in grado di individuare malware non noti, con una componente di rilevamento euristica molto evoluta, ed in grado di fornire una protezione “behavior-based”. Queste soluzioni tecnologiche devono essere accompagnate da tecnologie EDR che permettono ai team di IT security di effettuare delle azioni immediate, almeno per differenziare gli incidenti più gravi da quelli generici.

Talvolta anche l’adozione di soluzioni e tecnologie Anti-Ransomware, che sono state sviluppate negli ultimi anni contro i ransomware generici, si è rivelata molto efficace, proprio per la capacità che hanno di bloccare la possibile cifratura delle macchine.

Tutte le soluzioni e le strategie messe in atto per fronteggiare minacce mirate, come quelle APT ad esempio, possono essere estremamente efficaci per identificare non solo le prime fasi di un’infezione, ma anche gli step dei movimenti laterali, se integrate con informazioni di Threat Intelligence relative a questa specifica tipologia di attacchi.

Un altro strumento di difesa fondamentale è la preparazione, qualcosa che può sembrare scontato, ma che è di grande rilievo quando si parla di cyber attacchi: bisogna sempre verificare di non avere sistemi vulnerabili esposti, o sistemi con credenziali deboli; fare Vulnerability Assessment o attività di Penetration Testing per cercare di capire quelle che sono le criticità delle aziende e cercare così di porvi rimedio.

Altro aspetto fondamentale, poi, è una pianificazione attenta per quanto riguarda le azioni di Incident Response, perché, in caso di eventi informatici di una certa gravità, avere un preciso piano di risposta può fare la differenza e rivelarsi davvero decisivo per ridurre il più possibile i danni.

Compilando il form sottostante potrai ricevere gratuitamente il WhitePaper Kaspersky su come affrontare e neutralizzare le moderne minacce elusive

Consigli