Quanto vale la paura?

News
Visite: 5851

È possibile sfruttare economicamente la paura?

Sembrerebbe proprio di sì.

La paura è questione irrazionale e può essere stimolata da false conoscenze, miti e quanto altro possa influenzare la psiche della vittima. Cosa c’è di meglio di infliggere paura utilizzando la cattiva fama derivante da esperienze negative altrui?

Facile, immediato, economico.

È quanto sta succedendo nel mondo dei blog costituiti su tecnologia WordPress: questa piattaforma CMS open-source è stata infatti presa di mira da agenti di minaccia che sfruttano la diffusa (ormai) paura dei ransomware, ovvero quella tipologia di malware che blocca l’accesso ai dati della vittima (mediante crittografia) pretendendo un riscatto (in crittovaluta) per lo sblocco (non sempre certo).

Abbiamo detto che attaccano “sfruttando la paura dei ransomware”, non “sfruttando un ransomware”: infatti questo tipo di malware (tecnicamente scareware) non ha praticamente nulla di pericoloso, ma spingerà la vittima a compiere atti per il vantaggio dell’attaccante, in questo caso al pagamento di un riscatto.

È probabilmente (come affermano alcuni ricercatori) la tattica di alcuni agenti di minaccia meno preparati o strutturati che limitano la fase di weaponization sfruttando la fama altrui per raggiungere il vantaggio che altrimenti non avrebbero.

Naturalmente, affinché la paura sia efficace, la scena del crimine deve essere preparata assai bene. È così che il comportamento “attivo” di questo malware pone le basi della sua credibilità.

Innanzitutto l’attaccante prende il controllo del codice del motore CMS, in particolare violando la pagina amministrativa (wp-admin), godendo così della possibilità di installare un proprio plugin che determini la semplice esecuzione di un codice e la costruzione di una pagina HTML che diventerà parte del layout del blog.

Ovviamente, per rendere il tutto credibile il codice introdotto renderà indisponibile (all’utenza) i contenuti del blog (lo farà modificando in base dati lo stato di pubblicazione dei post con un codice SQL), e presenterà il più classico degli avvisi dei ransomware: la richiesta del riscatto, ben 1 Bitcoin (circa 52K Euro al prezzo attuale), e naturalmente un inquietante countdown per il termine del pagamento, il tutto in un rosso sangue su sfondo nero, il massimo dell’horror.

Queste tecniche per aumentare il livello di adrenalina non sono nuove nelle campagne di attacco tramite malware, ma certamente sono sempre efficaci (a ben vedere).

La diffusione della campagna è presto verificabile cercando con Google la stringa "FOR RESTORE SEND 0.1 BITCOIN" (non dimentichiamo le doppie virgolette), scartando ovviamente i siti di analisi di questo fenomeno. Troveremo molti siti (ne abbiamo trovati quasi 200 nel momento di questa indagine) che non solo sono stati attaccati, ma che non hanno ancora ripristinato (benché sia semplice rimuovendo il plugin, ripristinando lo stato di pubblicazione e modificando le cause dell’infiltrazione).

Il malware dunque non è quindi “tecnicamente” pericoloso: i dati non sono persi, ma i soldi e la reputazione potrebbero. La reputazione in modo immediato per tutti gli utenti del blog che vedrebbero chiaramente il sintomo dell’attacco; il denaro solo nel momento che si cedesse alla paura.

Quello che non è chiaro è il modo in cui, in molte occasioni, si sia compromessa la pagina amministrativa: potrebbe essere state estorte le credenziali con attacchi a forza bruta (su pagine amministrative esposte) oppure le stesse potrebbero essere state comprate al mercato nero, ma potrebbe essere stato sfruttato uno 0-day o una vulnerabilità nota su sistema, e soprattutto su plugin non aggiornati.

Comunque è chiaro un cambiamento strategico: non serve veicolare un vero ransomware per ottenere il medesimo effetto, e questo può rendere più remunerativo l’affare per gli agenti di minaccia.

Le raccomandazioni sono dunque sempre le stesse: backup efficaci e fuori linea, controllo degli accessi, uso di autenticazione multi-fattore, verifica del numero e versioni dei plugin installati nel proprio sistema, aggiornamenti, e limitazione (ove possibile) della esposizione delle componenti amministrative. In un'unica soluzione: ridurre la superficie di attacco.

Pin It

Per rimanere aggiornato iscriviti alla nostra newsletter

Cyber pillole più lette

Articoli più letti

Cyber Security UP

CybersecurityUP è una BU di Fata Informatica.
Dal 1994 eroghiamo servizi di sicurezza IT per grandi organizzazioni sia civili che militari.
  • Ethical Hacking
  • Red Teaming
  • Penetration Testing
  • Security Code Review
  • SOC 24x7
  • Formazione specialistica
Image
Image
Image
Via Tiburtina 912,
CAP 00156,
ROMA

Lunedì-venerdì
09:30 - 13:00
14:00 - 18:30

+39 06 4080 0490
amministrazione@fatainformatica.com

Contattaci

Necessiti dei nostri servizi di Cybersecurity?

Privacy policy

Ti invitiamo prendere visione della nostra
privacy policy  per la protezione dei tuoi dati personali.
Disclaimer
Alcune delle foto presenti su Cybersecurityup.it potrebbero essere state prese da Internet e quindi valutate di pubblico dominio. Se i soggetti o gli autori avessero qualcosa in contrario alla pubblicazione, lo possono segnalare via email alla redazione che provvederà prontamente alla rimozione delle immagini utilizzate.
© 2024 Fata Informatica. Tutti i diritti riservati.
We use cookies

Utilizziamo i cookie sul nostro sito Web. Alcuni di essi sono essenziali per il funzionamento del sito, mentre altri ci aiutano a migliorare questo sito e l'esperienza dell'utente (cookie di tracciamento). Puoi decidere tu stesso se consentire o meno i cookie. Ti preghiamo di notare che se li rifiuti, potresti non essere in grado di utilizzare tutte le funzionalità del sito.

Ok Rifiuta