Cosa sono gli insider threat

IBM raggruppa le minacce interne in 4 categorie: i pedoni, i fessi, i lupi solitari ed i collaboratori.

La prima categoria, i pedoni, come negli scacchi dei pezzi base, fondamentali per portare a termine attacchi di alto profilo; la categoria comprende tutti i dipendenti ignari di fornire accesso all’infrastruttura e vengono raccolti con una campagna di phishing o manipolati nel fornire informazioni preziose tramite tecniche di social engineering.

I fessi guadagnano questa nomina tutti i dipendenti che si credono al di sopra delle policy di sicurezza e in questo modo finiscono per rendere i dati vulnerabili e consentono un facile accesso ai malintenzionati. I fessi tentano attivamente di bypassare i controlli per loro comodità e sono responsabili del 90% degli incidenti, secondo il resoconto Gartner "Go-to-Market for Advanced Insider Threat Detection" (strategia di riferimento per il rilevamento delle minacce interne).

I lupi solitari sono dipendenti che di propria iniziativa compromettono volontariamente l‘infrastruttura e sono particolarmente pericolosi quando possiedono privilegi elevati, ad esempio amministratori di sistema oppure amministratori di database.

I collaboratori sono tutti i dipendenti che accettano di recare danno all‘azienda dietro la promessa di una ricompensa, molto spesso erogata in criptovaluta, i criminali forniscono mezzi e istruzioni sul come muoversi.

Un episodio degno di nota

Sareste disposti a tradire la vostra azienda dietro la promessa di un milione di dollari in bitcoin? È la domanda che viene posta da un criminale nigeriano ad un cliente della Abnormal Security.

La compagnia Abnormal Security riporta di aver bloccato diverse e-mail destinate ai propri clienti che contenevano annunci del genere, ma ha dato seguito ad una di queste utilizzando un finto complice, per poter svelare le tecniche, tattiche e procedure messe in atto dall’attaccante.

 Il malware che si è cercato di diffondere è DemonWare, conosciuto anche come Demon o Black Kingdom; esiste da alcuni anni ed ha fatto notizia quando un attore malevolo ha tentato di infettare dei server Microsoft Exchange con una vulnerabilità pubblicata a marzo (CVE-2021-27065).

Dopo un primo contatto viene richiesto al complice di installare in un qualsiasi windows server dell’azienda il ransomware, fornendo due metodi di contatto per accogliere le risposte: una mail e un username Telegram.

La comunicazione avviene su Telegram dove viene anche portata avanti una trattativa su quanto richiedere di riscatto.

La cifra che il malvivente vuole estorcere all’azienda viene abbassata più volte senza alcuna ragione; il complice si dimostra confuso e preoccupato riguardo la sua possibilità di guadagno e l'attaccante risponde con un “se vuoi gli chiediamo un milione, mi stavo solo mettendo una mano sulla coscienza”.

Durante la conversazione il cybercriminale ha tentato più volte di rassicurare il finto complice, garantendogli l’impossibilità di venire beccato dall’azienda dato che “il ransomware bloccherà tutti i dati compresi quelle delle tv a circuito chiuso”, istruendo il complice anche sul come liberarsi dell’exe buttandolo nel cestino e poi svuotandolo. Da qui nascono i sospetti riguardo la mancanza di preparazione del cybercriminale nelle procedure di analisi forense e incident response.

Alla richiesta se l’attaccante avesse scritto il malware di suo pugno, sarebbe stata data la risposta “sì in python” ma noi sappiamo con certezza che il ransomware DemonWare è liberamente distribuito su github. 

Cos'è demonware

DemonWare è “un ransomware costruito a scopo didattico” presente su github, è inoffensivo e la chiave di decrittazione è liberamente disponibile (sconsigliamo comunque di infettare la vostra postazione di lavoro per sperimentare). Non viene chiesto nessun riscatto e non presenta molte delle caratteristiche dei malware più avanzati, come la diffusione automatica all‘interno della rete. È sufficientemente inoffensivo da non far scattare i controlli antivirus (secondo l’autore, ma dalle nostre prove è risultato che la minaccia viene facilmente rilevata da windows defender) e funziona sia su windows che su Linux.

La versione che l’attore malevolo ha utilizzato durante l’attacco descritto in precedenza è stata modificata, in modo da nascondere le informazioni sul come recuperare la chiave di decrittazione, sostituendole con il proprio indirizzo e-mail.

L’evoluzione del phishing

Qualcuno di voi ricorderà sicuramente il principe nigeriano la cui mira era ottenere del denaro con la promessa di sbloccare i fondi del principe e ricevere una ricompensa in cambio, beh, questo tipo di pratiche conosciute come “truffa 419” (dall’articolo penale nigeriano che punisce questo tipo di attività), oppure “truffa alla nigeriana” attiva da lunghissimo, tempo fin dal 1992, ed ha avuto grande visibilità in Italia intorno al 2005 tramite striscia la notizia.

La ricerca di insider threat (minacce interne) ha storia molto recente ed è la naturale evoluzione del phishing. Dato che l’awareness è in forte crescita le vittime tendono a cadere sempre meno spesso nelle trappole, quindi, comincia a diventare più proficuo cercare un complice volontario che garantisca un accesso senza sforzi, motivo per cui la richiesta di Threat Hunters è destinata a crescere vertiginosamente e noi di CybersecutyUP abbiamo il corso perfetto per avviarvi a questa carriera.

Tweet