Complice la recente rivelazione di una nuova superficie d’attacco per i server microsoft exchange non aggiornati da maggio scorso la diffusione di nuovi ransomware non tende a diminuire assolutamente, attraverso le Attack-Chain di ProxyShell e PetitPotam, LockFile ha fatto la sua comparsa. A prima vista si tratta di un clone di Lockbit 2.0 dato che la sua hta (pagina di presentazione) è pressoché identica. Quello che distingue questo ransomware dagli altri è una curiosa tecnica di antivirus evasion. 

Crittografia intermittente 

Conti, Lockbit o altri malware della stessa famiglia, crittano i primi blocchi di un file impedendone così la lettura e velocizzando il completamento della fase di crittografica del malware. Lockfile invece critta i file a blocchi di 16 bytes in modo alternato, dato che il file può essere ancora parzialmente letto, vengono rese inutili le rilevazioni di compromissione crittografica basate su metodi statistici, poiché il file è sufficientemente simile all’originale da non generare allarmi. Una volta completata la fase di crittografia e generate le note di contatto il malware cancella sé stesso lasciando antivirus senza

Abbiamo già spiegato come, grazie alla diffusione di una corretta awareness le classiche tecniche di phishing stanno perdendo di efficacia, e di come gli insider threats (d’ora in avanti insiders) stiano diventando sempre più diffusi, soffermandoci sulle classiche truffe alla nigeriana, ma esiste un'altra via per generare degli insiders. 

Questa volta il protagonista è il ransomware Lockbit 2.0 quello che ha messo in ginocchio la regione Lazio e responsabile di un riscatto da 50 milioni contro il gigante Accenture. 

In linea fondamentale l’approccio è sempre lo stesso: un’offerta di denaro in criptovaluta in cambio di credenziali d’accesso all’infrastruttura, quello che cambia è il come. 

Come Lockbit si assicura delle credenziali di buona qualità 

Come prima cosa si guadagna l‘accesso ad un computer dell’infrastruttura aziendale, imposta un wallpaper nuovo fiammante che riporta la scritta: 

#### 

vuoi guadagnare milioni di euro? La nostra compagnia raccoglie accessi alle reti di varie aziende, così come informazioni interne che possono aiutare a rubare i dati più preziosi di qualunque azienda. 

Puoi fornirci qualsiasi tipo di dato utile a garantire un accesso come_: login password di VPN, RDP, mail aziendali, ecc… Apri la

La città di Peterborourgh nel New Hampshire ha dichiarato di aver perso $ 2,3 milioni dopo che i truffatori hanno ingannato i dipendenti della città facendoli inviare ingenti pagamenti ai conti sbagliati.

Le indagini hanno rivelato che i malfattori hanno utilizzato mail contraffate e documenti falsi per deviare i pagamenti a conti sotto il loro controllo.

Durante le indagini le autorità hanno scoperto che anche altri pagamenti sono stati intercettati, dovevano essere inviati a due appaltatori con il compito di costruire un ponte in città.

I servizi segreti americani, che sono stati contattati per indagare sull’incidente, hanno comunicato agli ufficiali di Peterborourgh che i fondi rubati sono stati lavati e convertiti in criptovaluta.

I dipendenti caduti vittima dell’inganno sono stati temporaneamente congedati, ma si dichiarano estranei ai fatti. I fondi persi probabilmente non verranno coperti dalle assicurazioni.

Quei 2,3 milioni ammontano a circa il 15% del budget annuale della piccola cittadina. Questo tipo di raggiro è chiamato truffa BEC e secondo l’FBI è costato alle aziende 1.8 miliardi nel 2020.

Truffa BEC

La Business mail Compromise (compromissione di mail aziendali) è un sofisticato tipo di truffa rivolta alle aziende che effettuano bonifici bancari e hanno fornitori all’estero. E-mail aziendali di dirigenti, o dipendenti in alto nella catena di comando, o che comunque svolgono attività finanziaria, come l’invio di bonifici, vengono impersonati o compromessi con keylogger o phishing per eseguire trasferimenti di

Cosa sono gli insider threat

IBM raggruppa le minacce interne in 4 categorie: i pedoni, i fessi, i lupi solitari ed i collaboratori.

La prima categoria, i pedoni, come negli scacchi dei pezzi base, fondamentali per portare a termine attacchi di alto profilo; la categoria comprende tutti i dipendenti ignari di fornire accesso all’infrastruttura e vengono raccolti con una campagna di phishing o manipolati nel fornire informazioni preziose tramite tecniche di social engineering.

I fessi guadagnano questa nomina tutti i dipendenti che si credono al di sopra delle policy di sicurezza e in questo modo finiscono per rendere i dati vulnerabili e consentono un facile accesso ai malintenzionati. I fessi tentano attivamente di bypassare i controlli per loro comodità e sono responsabili del 90% degli incidenti, secondo il resoconto Gartner "Go-to-Market for Advanced Insider Threat Detection" (strategia di riferimento per il rilevamento delle minacce interne).

I lupi solitari sono dipendenti che di propria iniziativa compromettono volontariamente l‘infrastruttura e sono particolarmente pericolosi quando possiedono privilegi elevati, ad esempio amministratori di sistema oppure amministratori di database.

I collaboratori sono tutti i dipendenti che accettano di recare danno all‘azienda dietro la promessa di una ricompensa, molto spesso erogata in criptovaluta, i criminali forniscono mezzi e istruzioni sul come muoversi.

Un episodio degno di nota

Sareste disposti a tradire la vostra azienda dietro la promessa di un milione di dollari in bitcoin? È la domanda che viene posta da un

Una soluzione di endpoint protection sia esso un antivirus, firewall o una soluzione avanzata basata sull’intelligenza artificiale, capace di filtrare le mail di phishing, sono solo una parte delle contromisure necessarie a far fronte ad una minaccia in continua evoluzione. 

La ricerca proattiva di metodi di intrusione è alla base di una sicurezza ben strutturata.

La figura del threat hunter

Il cacciatore di minacce è una figura fondamentare all’interno di un reparto IT poiché, trovandosi all’interno della rete può monitorare attivamente, con l’intenzione di ridurre, la superficie di attacco.

Un team di difesa per essere efficace deve essere composto da più livelli; conosciamo le figure del SOC Specialist , dell’ Ethical Hacker e dell’ Analista Forense , ma alla nostra catena manca ancora un anello.

La figura del cacciatore, a differenza del Penetration Tester o del Soc Specialist, si pone l’obiettivo di scovare dove si sia insidiata la minaccia assumendo che l’attacco sia già avvenuto e l’attaccante sia in attesa del momento giusto per poter causare il maggior danno possibile. Il Threat Hunter stila un profilo comportamentale utilizzando log e tecniche di analisi del traffico, con il fine di rilevare le più piccole variazioni del normale flusso di lavoro con l’obiettivo di eliminare le minacce sul nascere.

Prevenire è meglio che curare

Ciò che distingue la figura del Threat Hunter è la proattività, inutile piangere sul latte versato quando sarebbe bastato davvero poco ad evitare il disastro; un esempio attuale è

I ransomware sono la minaccia peggiore che le aziende e i privati possono trovarsi di fronte, un po’ per paura (i.e. i vecchi ransomware polizia di stato) un po’ per aver perso dati preziosi o credibilità. 

Un eroe viene in nostro soccorso: Raccine. 

Cos’e? 

Raccine è un progetto open source atto ad annullare i danni causati dai ransomware creato da Neo23x0; la mente dietro a yargen (strumento per generare automaticamente regole YARA) sfrutta un semplice processo per eliminare il problema dei ransomware, una blacklist di comandi. 

Cosa fa 

I ransomware hanno la scomoda abitudine di cancellare i nostri volumi shadow (una specie di punti di ripristino) rendendo di fatto impossibile il ripristino delle versioni antecedenti, la crittazione dei file. Il sistema è molto semplice, impedisce l’esecuzione di comandi che distruggono le shadow copy. Fra i punti di forza del programma possiamo annoverare l’esecuzione agent-less, ossia il programma agisce senza generare un servizio o mantenere in esecuzione programmi che occupano preziose risorse, la possibilità di eliminare il programma, nel caso non fosse di nostro gradimento, in maniera semplice e la possibilità di essere eseguito su windows 7 o superiori (aggiornate windows 7 vi espone ad ogni genere di attacchi!). 

Le regole YARA 

Yet Another Ridicolous Achronim (un altro ridicolo acronimo) consistono in un linguaggio strutturato riguardante i malware che permette di indentificare i programmi o files che si comportano in un

Anche il gigante Accenture caduto vittima di LockBit 2.0. Gli attaccanti chiedono una cifra da capogiro: 50 milioni. L’azienda opera anche nell’ambito della sicurezza e fortunatamente è riuscita a ripristinare i suoi servizi in breve tempo tramite un’ottima politica di backup. Ma l’incubo è davvero finito? Rimane il nodo dei dati sottratti e il danno d’immagine subito dall’azienda di Dublino.

Il ricatto a quattro vie

Quando un malintenzionato riesce a corrompere un sistema, non basa tutta la sua strategia di estorsione sull’impossibilità di fruizione dei dati all’utente; questa è una strategia vecchia! Ora va di moda mettere sotto pressione con più modalità i malcapitati. Il ricatto, a quattro vie, prevede dei modi subdoli per mettervi in ginocchio:

la crittografia la conosciamo unita a un DDoS, il tempo necessario ripristinare i backup e tornare online; altri due punti rimangono problematici: la protezione dei dati personali e la credibilità dell’azienda.

Volevamo soffermarci su un aspetto spesso trascurato: cosa succederebbe se l’attore malevolo andasse direttamente dai vostri clienti e dicesse che siete stati vittime di un attacco? Il prezzo a questo punto non si limita alla mancanza del servizio erogato ma ad un danno d’immagine da non sottovalutare affatto.

Accenture è una grande azienda e reggerà il colpo, ma una realtà più piccola, rischierebbe di chiudere i battenti dopo una pubblicità negativa del genere. Qualche testata scrive

Un bug nel firmare Arcadyan presente in 20 modelli di router di 17 diversi produttori consente a degli attori malevoli di sfruttare il vostro dispositivo per condurre attacchi DDoS (Distribuited Denial of Service), sfruttando la vostra linea internet facendoli diventare parte di una dell’ormai famosa rete botnet mirai attraverso una variante appositamente studiata per essere eseguita su questi dispositivi.

Un vecchio problema

Questa vulnerabilità consiste in un directory traversal ( CVE-2021-20090 ) che permette con un URL forgiato ad hoc, di bypassare il login del router, consentendo così la modifica ai parametri di configurazione senza avere le credenziali. Questa vulnerabilità è presente da quasi 10 anni ma ne è stata data la notizia pochi giorni fa. L’exploit consente di abilitare il servizio telnet con il quale gli attaccanti possono eseguire comandi sul router.

Una questione non da poco

Il fatto è di particolare gravita perché molti di questi apparati vengono dati in comodato d’uso con i contratti telefonici anche a persone che non aggiornano mai i firmware oppure che non sono mai neanche entrate nella pagina di configurazione del modem, dato che basta attaccarlo alla corrente e collegare il telefono per usufruire del router.

Cos’è mirai

Mirai è un malware che rende il vostro dispositivo uno zombie facendogli eseguire i comandi impartiti di un attore malevolo, quando questi dispostivi sono tanti e rispondono a un solo attaccante questi costituiscono una botnet.

Il malware mirai è scritto in C questo vuol dire che

Per rimanere in tema estivo che ne dite di fare un bagno nel mare dei ransomware?

 Non bisogna essere programmatori per fare danni seri, parliamo sempre di Ransomware as a Service ma non vi abbiamo mai fatto capire bene in cosa consiste; stavolta vogliamo presentarveli più da vicino, andremo proprio nella tana del lupo per farvi vedere com’è possibile, e spaventosamente facile, acquistare un ransomware.

Ci stiamo per immergere in mondo pericoloso quindi non sporgetevi dal finestrino e visitate con noi in totale sicurezza.

Il dark web

I primi metri di questa immersione consistono nello sbucciare una cipolla, nel deep web i siti hanno come (pseudo)dominio di primo livello “.onion” (cipolla in inglese) è qui che si nasconde, oltre a rifugiati politici e servizi leciti, una grande rete di criminali senza scrupoli. No, non è un bel posto, non visitatelo se non sapete cosa fare. In questa sede non verranno date istruzioni su come accedere. Il modello di accesso prevede di fare 3 “hop” minimi per accedere alla rete, in pratica bisogna rimbalzare su 3 server per fa perdere le proprie tracce. Entriamo ora nel vivo dell’articolo

Il mercato del ransomware

Il dark web, per gli amici tor network, non è indicizzato come il clear web (il comune internet) o meglio lo è ma solo in parte. Non esiste nessun Google, esistono vari servizi che hanno una banca dati con qualche indirizzo da visitare, da lì si può scavare sempre più a fondo fino a trovare delle brutte cose (fidatevi e non ficcanasate); fortunatamente, questi servizi, sono ben nascosti ed è difficile capitarci. Questo non è vero per i ransomware,

Le autorità non si esprimono ancora su quale sia stato il Ransomware che ha colpito la regione Lazio, voci di corridoio in prima battuta parlavano di CryptoLocker ma ora l’ipotesi più accreditata pare essere LockBit 2.0, anche se dobbiamo precisare sul sito del gruppo non c’è nessuna notizia riguardante la regione Lazio o suoi affiliati.

Contesto

Da un paio di giorni ormai il portale, sul quale era possibile prenotare le vaccinazioni per la regione Lazio, non è più raggiungibile e veniamo accolti da un bel errore 502 oppure una semplice pagina bianca.

Le indiscrezioni

Inizialmente l’attacco era stato attribuito ad un qualche gruppo Hacktivist (unione fra le parole hacking e activism) ossia un gruppo hacker con qualche scopo politico, famoso è il gruppo Anonymous per questo tipo di azioni), ma ora è chiaro che l’ente che eroga questi servizi è stato colpito da un ransomware.

Come è già stato detto in testa all’articolo il ransomware in questione sembra essere Lockbit 2.0, una versione più avanzata del LockBit, in circolo dal 2019 come RaaS (Ransomware as a Service una formula che non richiede di essere programmatori per trarre profitto da dei malware).

Come si presenta la minaccia

Il gruppo di simpaticoni che diffonde LockBit ha deciso di chiamarlo così rimescolando la parola bitlocker, una funzionalità di protezione dei dati integrata in Windows, che permette di cifrare una partizione intera allo scopo di proteggere i propri dati.

L’utente che si trova ad usare un computer infetto con sua