Anche il gigante Accenture caduto vittima di LockBit 2.0. Gli attaccanti chiedono una cifra da capogiro: 50 milioni. L’azienda opera anche nell’ambito della sicurezza e fortunatamente è riuscita a ripristinare i suoi servizi in breve tempo tramite un’ottima politica di backup. Ma l’incubo è davvero finito? Rimane il nodo dei dati sottratti e il danno d’immagine subito dall’azienda di Dublino.

Il ricatto a quattro vie

Quando un malintenzionato riesce a corrompere un sistema, non basa tutta la sua strategia di estorsione sull’impossibilità di fruizione dei dati all’utente; questa è una strategia vecchia! Ora va di moda mettere sotto pressione con più modalità i malcapitati. Il ricatto, a quattro vie, prevede dei modi subdoli per mettervi in ginocchio:

la crittografia la conosciamo unita a un DDoS, il tempo necessario ripristinare i backup e tornare online; altri due punti rimangono problematici: la protezione dei dati personali e la credibilità dell’azienda.

Volevamo soffermarci su un aspetto spesso trascurato: cosa succederebbe se l’attore malevolo andasse direttamente dai vostri clienti e dicesse che siete stati vittime di un attacco? Il prezzo a questo punto non si limita alla mancanza del servizio erogato ma ad un danno d’immagine da non sottovalutare affatto.

Accenture è una grande azienda e reggerà il colpo, ma una realtà più piccola, rischierebbe di chiudere i battenti dopo una pubblicità negativa del genere. Qualche testata scrive

Un bug nel firmare Arcadyan presente in 20 modelli di router di 17 diversi produttori consente a degli attori malevoli di sfruttare il vostro dispositivo per condurre attacchi DDoS (Distribuited Denial of Service), sfruttando la vostra linea internet facendoli diventare parte di una dell’ormai famosa rete botnet mirai attraverso una variante appositamente studiata per essere eseguita su questi dispositivi.

Un vecchio problema

Questa vulnerabilità consiste in un directory traversal ( CVE-2021-20090 ) che permette con un URL forgiato ad hoc, di bypassare il login del router, consentendo così la modifica ai parametri di configurazione senza avere le credenziali. Questa vulnerabilità è presente da quasi 10 anni ma ne è stata data la notizia pochi giorni fa. L’exploit consente di abilitare il servizio telnet con il quale gli attaccanti possono eseguire comandi sul router.

Una questione non da poco

Il fatto è di particolare gravita perché molti di questi apparati vengono dati in comodato d’uso con i contratti telefonici anche a persone che non aggiornano mai i firmware oppure che non sono mai neanche entrate nella pagina di configurazione del modem, dato che basta attaccarlo alla corrente e collegare il telefono per usufruire del router.

Cos’è mirai

Mirai è un malware che rende il vostro dispositivo uno zombie facendogli eseguire i comandi impartiti di un attore malevolo, quando questi dispostivi sono tanti e rispondono a un solo attaccante questi costituiscono una botnet.

Il malware mirai è scritto in C questo vuol dire che

Per rimanere in tema estivo che ne dite di fare un bagno nel mare dei ransomware?

 Non bisogna essere programmatori per fare danni seri, parliamo sempre di Ransomware as a Service ma non vi abbiamo mai fatto capire bene in cosa consiste; stavolta vogliamo presentarveli più da vicino, andremo proprio nella tana del lupo per farvi vedere com’è possibile, e spaventosamente facile, acquistare un ransomware.

Ci stiamo per immergere in mondo pericoloso quindi non sporgetevi dal finestrino e visitate con noi in totale sicurezza.

Il dark web

I primi metri di questa immersione consistono nello sbucciare una cipolla, nel deep web i siti hanno come (pseudo)dominio di primo livello “.onion” (cipolla in inglese) è qui che si nasconde, oltre a rifugiati politici e servizi leciti, una grande rete di criminali senza scrupoli. No, non è un bel posto, non visitatelo se non sapete cosa fare. In questa sede non verranno date istruzioni su come accedere. Il modello di accesso prevede di fare 3 “hop” minimi per accedere alla rete, in pratica bisogna rimbalzare su 3 server per fa perdere le proprie tracce. Entriamo ora nel vivo dell’articolo

Il mercato del ransomware

Il dark web, per gli amici tor network, non è indicizzato come il clear web (il comune internet) o meglio lo è ma solo in parte. Non esiste nessun Google, esistono vari servizi che hanno una banca dati con qualche indirizzo da visitare, da lì si può scavare sempre più a fondo fino a trovare delle brutte cose (fidatevi e non ficcanasate); fortunatamente, questi servizi, sono ben nascosti ed è difficile capitarci. Questo non è vero per i ransomware,

Le autorità non si esprimono ancora su quale sia stato il Ransomware che ha colpito la regione Lazio, voci di corridoio in prima battuta parlavano di CryptoLocker ma ora l’ipotesi più accreditata pare essere LockBit 2.0, anche se dobbiamo precisare sul sito del gruppo non c’è nessuna notizia riguardante la regione Lazio o suoi affiliati.

Contesto

Da un paio di giorni ormai il portale, sul quale era possibile prenotare le vaccinazioni per la regione Lazio, non è più raggiungibile e veniamo accolti da un bel errore 502 oppure una semplice pagina bianca.

Le indiscrezioni

Inizialmente l’attacco era stato attribuito ad un qualche gruppo Hacktivist (unione fra le parole hacking e activism) ossia un gruppo hacker con qualche scopo politico, famoso è il gruppo Anonymous per questo tipo di azioni), ma ora è chiaro che l’ente che eroga questi servizi è stato colpito da un ransomware.

Come è già stato detto in testa all’articolo il ransomware in questione sembra essere Lockbit 2.0, una versione più avanzata del LockBit, in circolo dal 2019 come RaaS (Ransomware as a Service una formula che non richiede di essere programmatori per trarre profitto da dei malware).

Come si presenta la minaccia

Il gruppo di simpaticoni che diffonde LockBit ha deciso di chiamarlo così rimescolando la parola bitlocker, una funzionalità di protezione dei dati integrata in Windows, che permette di cifrare una partizione intera allo scopo di proteggere i propri dati.

L’utente che si trova ad usare un computer infetto con sua

Cos'è il cryptojacking? 

Avete presente il mining di criptovalute? Bene il cryptojacking è la stessa cosa ma non viene fatto sul proprio computer. Viene anche chiamato malicius mining perché sfrutta utenti ignari di essere usati come miner. 

Il mining di cryptovalute pur essendo una pratica lecita e legale richiede dei computer molto potenti capaci di effettuare molti calcoli in parallelo, i cosiddetti mining rig (rig in inglese vuol dire sia trivella che attrezzatura per questo sentite spesso parlare di gaming rig): a differenza dei computer da gioco presentano un altissimo numero di schede grafiche, normalmente fino a 6 per ogni pc. 

Facciamo due conti 

I computer da gioco consumano dai 400Watt fino ai 1000W per i sistemi con due schede grafiche e con processori potenti. 

Ogni scheda grafica, con una potenza tale da essere competitiva in un mining pool, consuma fino a 450W, 6 X 450W = 2700W solo di schede grafiche! Questo corrisponde a tenere il forno acceso 24h/24h 7 giorni a settimana, un consumo di energia folle!  

Tutto questo per un solo sistema ma le “mining farm” spesso si compongono di molti computer e questo riduce se non azzera il guadagno data dalla criptovaluta. 

Questo spinge alcuni

Gli attori malevoli sono conosciuti per essere restii al cambiamento, tant’è che esistono grandi banche dati (knowledge base) dedicate solo alla raccolta delle tattiche e delle procedute degli attaccanti, come la Mitre Att&ck.

I motori antivirus usano di base una ricerca basata su un database di firme Hash; l’hash è una funzione matematica che restituisce una stringa univoca di caratteri a partire da un determinato oggetto di un file, per determinare se un programma è già stato identificato come malevolo ma, come sappiamo bene, le firme sono facili da cambiare. Viene quindi in soccorso il Fuzzy Hash (che consiste nel rigenerare l’hash cambiando quando qualche cosa in modo da avere molti Hash di file simili). Ma, se cambiassimo completamente il programma mantenendo lo stesso comportamento?

Squadra che vince non si cambia

Secondo Blackberry sta andando di moda la traduzione di vecchi malware in linguaggi poco conosciuti, questo oltre a variare completamente la firma, rende l’analisi del malware difficoltosa da un punto di vista statico.

La semplice traduzione di un malware rende pericolose nuovamente le vecchie conoscenze, questo perché passerebbero inosservati a un semplice controllo della

Abbiamo parlato la volta scorsa dello skill shortage, oggi vi presentiamo un po' di dati grezzi per farvi capire l’entità della problematica, non solo italiana ma mondiale.

I CISO italiani hanno riconosciuto una difficoltà nel trovare risorse per il settore della Cyber Security; i dati dicono che nel 75% dei casi le aziende riscontrano difficoltà nell’assumere in questo settore, e che nel 50% si presenta un solo candidato per la posizione richiesta. Alle offerte molto spesso rispondono candidati con scarsa esperienza operativa questo è direttamente collegato al fatto che le lauree in ingegneria e informatica forniscono conoscenze in ambito Cybersec ma solo teoriche, quindi non consentono un immediato inserimento nel mondo del lavoro.

Questo costringe le aziende a spendere tempo e denaro nella formazione di nuove risorse; in alcuni casi addirittura si assumono neodiplomati da formare nonostante 1-3 anni di esperienza, sia la soglia minima per accedere (dato che le posizioni spesso rimangono aperte più di 61 giorni, alcune fino a 3 mesi).

Anche secondo LinkedIn Emerging Jobs Italia 2020, tra le professioni 'emergenti' più ricercate c'è quella del Cyber Security Specialist che sarà una delle professioni più richieste del 2021.

Lo Skill-Shortage nel campo della cybersecurity si fa sentire… orde di aziende cercano sempre più persone per proteggere i dati. 

Ma vi siete mai posti la domanda: come faccio ad entrare in questo mondo?

Avere solide basi e una mente allenata, all’acquisire informazioni che mutano rapidamente, aiuta, una laurea in informatica, ingegneria informatica o campi STEM farà sicuramente al caso vostro.

Sfortunatamente lo skillset fornito da questi percorsi non risulta essere sufficiente e andrà condito con qualche master oppure altri cammini che rispondono alla domanda: Che ruolo voglio coprire?

Beh... le strade sono tante, ma una panoramica di queste può essere riassunta in tre vie fondamentali; queste riunite, permettono di formare un team idoneo ad una difesa a tutto tondo delle organizzazioni:

La difesa - L’attacco - L’analisi

 Le prime due sono strade puramente tecniche in cui si svolge un ruolo attivo di prevenzione contro le minacce cyber, in particolare per difesa si parla degli operatori S.O.C. (Security Operation Center) che costituiscono il cosiddetto Blue-Team.

Facciamo una checklist: il phon l‘hai preso? Gli asciugamani? Bene allora prima di salire in macchina chiudi il gas e aggiorna il N.A.S.!

Fa caldo, c'è un bel sole, qualcuno già è sdraiato sul lettino sotto l’ombrellone, mentre qualcun altro è seduto su una sedia con l'intenzione di andare a pesca ma non al mare e non il pesce, ma le vostre password.

Ma come gli hacker non vanno in vacanza?

No mai, la maggior parte degli attacchi avviene proprio d'estate; la gente è più distratta, ci sono più scuse per inviare mail di phishing credibili, dispositivi esposti in rete come server casalinghi mancheranno di manutenzione per un lungo periodo.

Allora è giunto il momento di aggiungere un po' di robustezza alla nostra infrastruttura, ossia osservare alcuni comportamenti:

•    Instrumentare una buona politica di backup. 

•    Scansionare tutte le macchine con un buon antivirus.

•    Disconnettere dalla rete tutti i dispositivi non necessari.

Bene, la situazione a casa adesso è sistemata ora bisogna pensare a quando si è in viaggio

È il caso di nuova campagna multi-malware che ha come mezzo di diffusione dei comunissimi file excel diffusi tramite mail che una volta aperti vi infetteranno con i malware: Agent Tesla, Lokibot e Formbook.

Fino a qui è notizia vecchia! Cosa cambia questa volta?

Cambia che i file infetti diffusi tramite le e-mail di phishing spesso sono crittati e protetti da password come forma di “AntiVirus Evasion” non vengono quindi rilevati e richiedono una password per essere aperti.

Allora non c’è nessun problema vero? Io dimentico anche le mie di password figuriamoci se conosco quella del malware!

Questa volta non è necessario conoscere la password (anche se è sicuramente contenuta nel corpo della mail), poiché è quella di default ed è inserita direttamente nel codice di excel! In breve, se la password è “VelvetSweatshop” il documento viene decrittato in automatico.