{"id":22257,"date":"2020-07-07T16:30:09","date_gmt":"2020-07-07T14:30:09","guid":{"rendered":"https:\/\/www.kaspersky.it\/blog\/?p=22257"},"modified":"2020-07-09T15:34:42","modified_gmt":"2020-07-09T13:34:42","slug":"targeted-ransomware-nuove-minacce-e-come-proteggersi","status":"publish","type":"post","link":"https:\/\/www.kaspersky.it\/blog\/targeted-ransomware-nuove-minacce-e-come-proteggersi\/22257\/","title":{"rendered":"Targeted Ransomware: nuovi attacchi mirati e come proteggersi"},"content":{"rendered":"

Come vi ho raccontato nella prima parte di questo articolo<\/a>, la minaccia ransomware esiste da diversi anni, ma di recente ha registrato un vero e proprio boom, prendendo di mira e colpendo tantissime organizzazioni di varie tipologie. Il termine \u201cransomware\u201d identifica una precisa categoria di programmi dannosi, sviluppati appositamente per impedire l\u2019accesso a determinati sistemi o file in cambio del pagamento di un riscatto.
\nIl mondo dei ransomware <\/strong>\u00e8 in evoluzione costante, tanto che nel 2019 \u00e8 emerso un nuovo trend, lanciato dal gruppo Maze: il gruppo non si limitava pi\u00f9 alla sola cifratura dei file, ma rubava anche una grande quantit\u00e0 di dati. In caso di mancato pagamento del riscatto da parte della vittima, quindi, i dati non sarebbero solo stati illeggibili e inaccessibili, ma alcune informazioni sensibili sarebbero state pubblicate online. Un danno esponenzialmente pi\u00f9 pericoloso per la singola azienda attaccata, se si considera che le informazioni pubblicate potrebbero rivelarsi critiche per la stessa operativit\u00e0 aziendale o contenere dati sensibili relativi a clienti, fornitori e dipendenti interni, diventando quindi potenzialmente sfruttabili anche per altre tipologie di attacco. Ad esempio, se un criminale informatico generico dovesse entrare in possesso di documenti d\u2019identit\u00e0 o di buste paga dei dipendenti di una compagnia, potrebbe procedere anche con altri tipi di azioni, come il furto d\u2019identit\u00e0 digitali o frodi.<\/p>\n

Le caratteristiche degli attacchi con ransomware mirati<\/h2>\n

Questi tipi di attacchi si differenziano dai generici attacchi ransomware per alcune caratteristiche ben precise: prendono di mira un determinato target o una determinata realt\u00e0; presentano dei punti in comune con altre tipologie di cyberattacchi avanzati, come gli APT (Advanced Persistent Threat<\/a>)<\/strong>, ma sono anche simili a quelle che sono le normali attivit\u00e0 di Penetration Testing, che, quando usate in maniera lecita, servono a verificare le criticit\u00e0 del livello di sicurezza dei sistemi all\u2019interno dell\u2019azienda.<\/p>\n

L\u2019anatomia di un attacco di tipo targeted ransomware \u00e8 ormai chiara: l\u2019attaccante prima si impegna in una fase di ricognizione, durante la quale cerca di ottenere informazioni sull\u2019obiettivo da colpire (ad esempio, controlla quali sono i server raggiungibili dall\u2019esterno, quali permettono l\u2019exploit di vulnerabilit\u00e0 note, quali sono protetti da credenziali deboli; cerca anche alcune informazioni sui dipendenti e il personale che opera all\u2019interno di una determinata realt\u00e0) in modo da capire quale pu\u00f2 essere il vettore d\u2019attacco pi\u00f9 efficace, a seconda delle diverse caratteristiche dell\u2019obiettivo. Lo scopo di questa prima fase \u00e8 la compromissione di alcune macchine che fanno parte dell\u2019infrastruttura presa di mira e che hanno visibilit\u00e0 su quelli che possono essere i sistemi interni. Queste prime macchine compromesse vengono usate poi come \u201cteste di ponte\u201d per dare il via a quelli che gli in genere chiamiamo \u201cmovimenti laterali\u201d (quando gli attaccanti compromettono altri sistemi all\u2019interno delle reti interne in modo tale da aumentare il controllo sull\u2019infrastruttura presa di mira e facilitare il raggiungimento dell\u2019obiettivo finale). Lo scopo principale \u00e8 creare il maggior danno possibile, in modo tale da avere maggiori possibilit\u00e0 di ottenere il pagamento di un riscatto da parte della vittima.<\/strong> Molto spesso, durante lo svolgimento dell\u2019attacco, i criminali tentano di prendere il controllo dell\u2019infrastruttura, compromettendo i domain controller, dal quale \u00e8 pi\u00f9 facile ottenere informazioni utili alla distribuzione della minaccia ransomware su tutte le macchine, le quali vengono infettate contemporaneamente, determinando cos\u00ec una compromissione diffusa.<\/p>\n

Strumenti e vettori d\u2019infezione<\/h2>\n

Gli attaccanti utilizzano vari strumenti; alcuni sono leciti, come le utility per l\u2019amministrazione dei sistemi ( ad esempio, la Sysinternal Suite di Microsoft), altri sono strumenti offensivi sviluppati per attivit\u00e0 lecite quali i penetration test, ma che vengono sfruttati dai criminali per automatizzare le operazioni e migliorare l\u2019efficienza dell\u2019attacco (alcuni esempi sono i framework di post-exploitation, commerciali o free, come Empire, Cobalt Strike o Metasploit). Inoltre \u00e8 comune l\u2019utilizzo di tantissimi script, sia batch che PowerShell.<\/p>\n

Identificare i vettori di infezione, quindi capire quali sono le tecniche che un attaccante pu\u00f2 utilizzare per introdursi nell\u2019infrastruttura, \u00e8 particolarmente importante, perch\u00e9 pu\u00f2 consentire di prevenire le fasi successive dell\u2019attacco stesso. Come in moltissimi altri casi, una delle tecniche principali \u00e8 quella dello Spear Phishing<\/strong><\/a> (comunicazioni inviate via email a determinati dipendenti, che spesso utilizzano tecniche di Social Engineering e che portano l\u2019utente a fare il download e ad eseguire un oggetto malevolo). \u00c8 molto comune anche lo sfruttamento di server vulnerabili<\/strong>, server cio\u00e8 esposti online, non aggiornati, soggetti quindi a possibili exploit di vulnerabilit\u00e0 note, o di server non configurati correttamente<\/strong> o che utilizzano credenziali deboli<\/strong>.<\/p>\n

Di solito gli attaccanti cercano di compromettere software per l\u2019amministrazione da remoto<\/strong>, come VNC, SSH o RDP. Osservando l\u2019andamento dei rilevamenti relativi ad eventi Bruteforce RDP tra febbraio e aprile 2020, ad esempio, si nota chiaramente un forte incremento delle attivit\u00e0 a partire da marzo, soprattutto in paesi come l\u2019Italia o la Spagna. Questo andamento non per forza deve essere messo in relazione esclusiva con il mondo degli attacchi ransomware, ma \u00e8 lecito supporre che questa tipologia di attacchi abbia influito.<\/p>\n

Un\u2019altra tipologia di vettore d\u2019infezione \u00e8 rappresentata dagli MSP<\/strong> (Manager Service Providers), aziende che erogano dei servizi digitali, pi\u00f9 o meno critici, a clienti che li scelgono perch\u00e9 non hanno all\u2019interno le strutture o il personale adatto per portare avanti delle specifiche attivit\u00e0 IT. Sono stati identificati diversi casi di compromissione di MSP<\/a> da parte di attaccanti che utilizzavano un software di amministrazione remoto, di solito utile per erogare le attivit\u00e0 di help desk, proprio per veicolare dei malware e compromettere cos\u00ec le macchine dei clienti dell\u2019MSP con altro codice malevolo. Un altro caso ha mostrato come sia stata sfruttata, invece, la soluzione antivirus: i cybercriminali avevano compromesso il pannello di controllo usato dall\u2019MSP che, invece di aiutare la protezione, veniva usato per distribuire il codice malevolo.<\/p>\n

Da evidenziare che in questi casi i criminali non limitano gli attacchi alle aziende di grandi dimensioni, ma colpiscono anche piccole e medie imprese al quale vengono richieste somme inferiori, solitamente alcune decine di migliaia di euro.<\/p>\n

Anche le credenziali rubate<\/strong>, spesso poco considerate, possono trasformarsi in un valido aiuto durante diverse fasi di attacco. Infatti sappiamo da tempo che il mondo del cybercrime \u00e8 composto da una serie di individui che scambiano, tra loro e con altri, beni e servizi di vario genere. Soprattutto nel caso del cos\u00ec detto \u201ccybercrime generico\u201d, difficilmente un singolo attaccante si occupa di tutte le fasi di un attacco, ma ci sono diverse figure che si occupano di specifici aspetti (scrittura dei malware, infezione dei dispositivi, furto o rivendita dei dati).<\/p>\n

In questo contesto si inseriscono veri e propri Marketplace,<\/strong> dove \u00e8 possibile acquistare informazioni rubate relative a diversi tipi di servizi online. Genesis, ad esempio \u00e8 un marketplace di questo tipo, si tratta infatti di un sito web analizzato dal GReAT di Kaspersky nel 2019 e focalizzato principalmente alla rivendita di informazioni utili soprattutto per aggirare i sistemi anti-frode delle banche, ma contiene al suo interno anche dati, rubati presumibilmente con componenti stealer, i quali includono combinazioni URL, username e password normalmente salvate negli applicativi browser.<\/p>\n

Le credenziali quindi possono essere relative a servizi diversi e vanno dalle webmail agli applicativi interni delle aziende e le console di gestione di servizi critici. A tal proposito, vale la pena ricordare che in ambito Enterprise le credenziali di accesso alla webmail, spesso corrispondono alle credenziali di dominio utilizzate anche per accedere a sistemi aziendali. Oppure alcuni pannelli di gestione di alcune soluzioni di sicurezza vengono gestiti tramite interfacce web che talvolta sono anche accessibili da rete internet.<\/p>\n

Questo scenario dovrebbe far riflettere sul rischio rappresentato anche dalle minacce generiche e di come i dati sottratti da malware come ad esempio i password stealer, potrebbero essere sfruttati per incidenti ben pi\u00f9 critici.<\/p>\n

Inoltre esistono delle evidenze che indicano una collaborazione tra chi perpetra attacchi ransomware mirati e il mondo del crimine informatico in genere<\/strong>: sono stati identificati, infatti, diversi casi di malware generici, nello specifico Banking Trojan, che ad un certo punto cominciavano a scaricare ed eseguire altro codice malevolo che portava, alla fine, all\u2019infezione con ransomware legati ad attacchi mirati. \u00c8 il caso del Trojan bancario TrickBot, che in un dato momento, dava il via ad un\u2019infezione che portava al ransomware Ryuk, cos\u00ec come delle connessioni individuate tra altri malware (come Dridex o QakBot) con ransomware specifici per attacchi mirati (rispettivamente Doppelpaymer e MegaCortex).<\/p>\n

Come proteggersi<\/h2>\n

La storia dei targeted ransomware, la loro evoluzione, il rapporto stretto con altri malware generici dimostra, una volta di pi\u00f9, che le aziende devono stare costantemente all\u2019erta, devono mettere la cyber security tra le loro priorit\u00e0, in modo da non ignorare o sottovalutare neanche le minacce generiche, perch\u00e9 possono trasformarsi molto facilmente in un incidente informatico pi\u00f9 critico.<\/p>\n

Affrontare questo tipo di minacce, infatti, \u00e8 possibile, se si adottano una serie di contromisure che sono le stesse che si applicano in caso di attacchi di tipo APT: come prima cosa, \u00e8 necessario migliorare il livello di sicurezza dei singoli endpoint<\/strong>, quindi assicurarsi del fatto che siano dotati di soluzioni tecnologiche in grado di individuare malware non noti, con una componente di rilevamento euristica molto evoluta, ed in grado di fornire una protezione \u201cbehavior-based\u201d. Queste soluzioni tecnologiche devono essere accompagnate da tecnologie EDR che permettono ai team di IT security di effettuare delle azioni immediate, almeno per differenziare gli incidenti pi\u00f9 gravi da quelli generici.<\/p>\n

Talvolta anche l\u2019adozione di soluzioni e tecnologie Anti-Ransomware<\/strong>,<\/a> che sono state sviluppate negli ultimi anni contro i ransomware generici, si \u00e8 rivelata molto efficace, proprio per la capacit\u00e0 che hanno di bloccare la possibile cifratura delle macchine.<\/p>\n

Tutte le soluzioni e le strategie messe in atto per fronteggiare minacce mirate<\/strong>, come quelle APT ad esempio, possono essere estremamente efficaci per identificare non solo le prime fasi di un\u2019infezione, ma anche gli step dei movimenti laterali, se integrate con informazioni di Threat Intelligence<\/strong><\/a> relative a questa specifica tipologia di attacchi.<\/p>\n

Un altro strumento di difesa fondamentale \u00e8 la preparazione<\/strong>, qualcosa che pu\u00f2 sembrare scontato, ma che \u00e8 di grande rilievo quando si parla di cyber attacchi: bisogna sempre verificare di non avere sistemi vulnerabili esposti, o sistemi con credenziali deboli; fare Vulnerability Assessment<\/strong> o attivit\u00e0 di Penetration Testing<\/strong> per cercare di capire quelle che sono le criticit\u00e0 delle aziende e cercare cos\u00ec di porvi rimedio.<\/p>\n

Altro aspetto fondamentale, poi, \u00e8 una pianificazione attenta per quanto riguarda le azioni di Incident Response<\/strong>, perch\u00e9, in caso di eventi informatici di una certa gravit\u00e0, avere un preciso piano di risposta pu\u00f2 fare la differenza e rivelarsi davvero decisivo per ridurre il pi\u00f9 possibile i danni.<\/p>\n

Compilando il form sottostante potrai ricevere gratuitamente il WhitePaper Kaspersky su come affrontare e neutralizzare le moderne minacce elusive<\/h4>\n
<\/form>