giovedì 27 giugno 2019

Sodinokibi: attacchi contro i Managed Service Provider per diffondere il ransomware


C'era da aspettarselo, ce lo aspettavamo: la sospensione delle attività di GandCrab ha lasciato un vuoto nel mondo dei ransomware. Vuoto che è terreno di contesa tra diversi nuovi ransowmare, per conquistare il podio della minaccia ransomware più redditizia e diffusa. 

Di Sodinokibi stiamo parlando molto spesso, sia perché si sta dimostrando tra i più attivi nell'aprirsi nuovi canali di diffusione sia perchè continua a fare dell'Italia (e di pochissimi altri stati europei) l'obiettivo privilegiato. 

Un breve riassunto: cosa è Sodinokibi 
Sodinokibi è un nuovo ransomware, in diffusione da poche settimane, ma che si è già reso protagonista di svariate campagne di attacco in Europa, sopratutto in Italia e Germania. Cripta un grandissimo numero di tipologie di file: il segno distintivo di questo  ransomware è l'aggiunta di una estensione unica random che viene inserita dopo il nome originale del file criptato.  Cancella le Shadow Copies e disabilita il ripristino dello startup di Windows, così da rendere impossibile il recupero dei file eccetto che da backup esterno. Lascia una copia della nota di riscatto in ogni cartella criptata: al suo interno i contatti per ricevere le istruzioni di pagamento.   


Un breve riassunto: l'evoluzione dei mezzi di diffusione
La prima versione di Sodinokibi è stata testata tra Italia e Germania: è stata diffusa tramite ampie campagne di spam. La prima di queste, destinata ad utenti italiani e tedeschi, confezionata con email in entrambe le lingue a seconda dei target era a tema legale: si cercava di convincere gli utenti ad aprire il classico allegato compromesso spacciandolo per contenente importanti documenti legali (addirittura documenti relativi a pignoramenti di beni).  

Nei giorni successivi, ovvero nell'arco di tutto questo mese, si sono susseguite oltre una decina di diverse campagne di spam per distribuire questo ransowmare. Lo schema per ora si è dimostrato ricorrente: l'email fake induce l'utente a scaricare l'archivio allegato. Questo contiene un documento Office (solitamente in formato docx o xlsx) per la cui visualizzazione è richiesta l'abilitazione della macro contenuta. La macro contiene a sua volta un file VBA altamente offuscato la cui attivazione comporta il download e l'esecuzione dell'eseguibile del ranosmware. 

Poco meno di 5 giorni fa invece, il ricercatore di sicurezza indipendente Nao_sec ha pubblicato un aggiornamento rispetto a Sodinokibi, anzi, nel dettaglio rispetto alle sue modalità di diffusione. Nao_sec infatti ha individuato molteplici campagne di malvertising collegate a questo ransomware: in dettaglio, tramite la rete di ads PopCash, gli attori dietro Sodinokibi hanno disseminato la rete di popup e ads compromessi.  Cliccando anche accidentalmente su questi ads e popup si viene reindirizzati su siti web compromessi che recano, ben nascosto, l'exploit kit RIG. Rig è uno strumento di diffusione malware che ormai è un protagonista fisso della scena del cyber crimine: è uno strumento in affitto, un vero e proprio servizio che ogni malintenzionato disposto a spendere qualche soldo, può affittare per distribuire i propri malware.

Sodinokibi Ransomware installed via Malvertising from BleepingComputer.com on Vimeo.

L'ultima novità: MSP sotto attacco per colpire i loro clienti con Sodinokibi
Quasi in contemporanea con l'avvio della partnership tra Sodinokibi e RIG Ek su Reddit svariati utenti segnalavano molteplici attacchi contro un numero imprecisato di aziende usando, come vettore di attacco, tre Manged Service Provider (MSP): i MSP sono soggetti che forniscono servizi online di vario genere attraverso un sistema di abbonamenti. La loro particolarità è l'utilizzare sistemi di controllo remoto per gestire le infrastrutture dei clienti. Un sistema che garantisce certamente maggiore controllo e sicurezza, ma che, in questo caso è stato sfruttato come al "contrario", ovvero come infrastruttura di diffusione di malware. 

Gli attacchi, che paiono provenienti dallo stesso gruppo, iniziano con  l'ottenimento dei privilegi di amministrazione: subito dopo vengono disattivati i software antivirus. Si apre quindi la caccia alle credenziali per gli account Webroot SecureAnywhere, il software di sicurezza WebRoot che usa un sistema di controllo centralizzato con varie funzioni di controllo da remoto, tra le quali quelle di scaricare e installare app sui computer nei quali è in funzione. 

Ecco quindi come si è svolto l'attacco: le ultime due funzionalità di Webroot sono state usate proprio per attaccare i clienti degli stessi MSP, distribuendo appunto Sodinokibi . Da parte sua, la società Webroot è corsa ai ripari inviando a tutti i clienti l'email che è visibile sotto in foto e forzando l'implementazione del sistema di autenticazione a due fattori per accedere agli account. 



Nel frattempo sono già numerosi i ricercatori di sicurezza che stanno lavorando per l'implementazione di un tool di decriptazione: Sodinokibi attualmente non è infatti risolvibile, se non cedendo al ricatto dei cyber criminali pagando il riscatto. 

1 commento:

  1. Indeed an informative post! Thanks for sharing about such malicious ransomware. However, I have found Sodinokibi Ransomware removal steps on VRGL site. Is it a good piece of information?

    RispondiElimina