Di Sodinokibi abbiamo parlato recentemente: è infatti un ransomware molto giovane, emerso quasi in contemporanea con Ryuk, ma che è divenuto in poco tempo uno dei ransomware di punta nello scenario degli strumenti malware. Così protagonista nello scenario dei ransomware da aver determinato un aumento dell'ammontare medio delle richieste di riscatto: concorso di colpa da condividere col "collega" Ryuk.
Per approdondire >> Dentro Sodinokibi, il Top Ransomware
I ricercatori di McAfee sono riusciti ad esaminare strumenti e tattiche in uso agli affiliati della rete di Sodinokibi il quale, ricordiamo, è un RaaS, un ransomware as a service, ovvero un malware offerto in affitto a soggetti che lo distribuiscono in proprio guadagnando dai riscatti quel che resta dopo aver pagato la quota di affitto agli sviluppatori del ransomware stesso. Ne rendiamo un breve riassunto, utile ad aumentare la consapevolezza e la conoscenza sul mondo dei ransomware e quindi anche su come difendersi.
I ricercatori di McAfee sono riusciti ad esaminare strumenti e tattiche in uso agli affiliati della rete di Sodinokibi il quale, ricordiamo, è un RaaS, un ransomware as a service, ovvero un malware offerto in affitto a soggetti che lo distribuiscono in proprio guadagnando dai riscatti quel che resta dopo aver pagato la quota di affitto agli sviluppatori del ransomware stesso. Ne rendiamo un breve riassunto, utile ad aumentare la consapevolezza e la conoscenza sul mondo dei ransomware e quindi anche su come difendersi.
Spiando gli attaccanti
In quanto parte del RaaS Sodinokibi, gli eseguibili del malware sono etichettati con l'ID dell'affiliato e un subID, utili per tracciare chi ha infettato una vittima e quindi quale affiliato deve pagare la commissione. Sono stati proprio questi identificativi a mettere i ricercatori in condizione di osservare e tracciare il comportamento degli affiliati e gli strumenti che questi utilizzano per migliorare l'efficacia dell'attacco.
Il team di ricerca di McAfee ha usato una rete globale di honeypot di RDP per tracciare l'attività degli affiliati del gruppo Sodinokibi. Tra questi, si sono concentrati sul Group 1, in dettaglio sugli affiliati #34 e #19. Tale gruppo compromette inizialmente un sistema tramite l'RDP, quindi lo usa come punto di appoggio per compromettere il resto della rete della vittima. Nel tentativo di riuscire a diffondere lateralmente il malware nella rete (a mò di worm), tutti gli affiliati usano strumenti di port scanning di massa per individuare server RDP accessibili, quindi usare il tool per il brute-forcing dell'RDP NLBrute: questo tool tenta di accedere a server connessi ad Internet usando una lista di password piuttosto comuni.
Gli affiliati #34 e #19 sono parsi i più interessanti perchè evidentemente più esperti e organizzati dei loro "colleghi": oltre al meccanismo di attacco "standard" previsto da Sodinokibi, questi due affiliati usano strumenti e tattiche ulteriori. Ad esempio utilizzano un file batch Mimikatz per raccogliere le credenziali di rete, script personalizzati per cancellare i log degli eventi di Windows e creano un user nascosto sul sistema infetto.
Gli affiliati #34 e #19 sono parsi i più interessanti perchè evidentemente più esperti e organizzati dei loro "colleghi": oltre al meccanismo di attacco "standard" previsto da Sodinokibi, questi due affiliati usano strumenti e tattiche ulteriori. Ad esempio utilizzano un file batch Mimikatz per raccogliere le credenziali di rete, script personalizzati per cancellare i log degli eventi di Windows e creano un user nascosto sul sistema infetto.
L'affiliato #19 utilizza perfino exploit in locale per ottenere l'accesso coi privilegi di amministrazione sulla macchina infetta. A questo punto, potrà facilmente distribuire ed eseguire Sodinokibi sulle altre macchine Windows.
L'affiliato #34 invece affianca alla distribuzione del payload di Sodinokibi anche il payload di cripto-miner, MinersGate e XMRig. E' proprio analizzando il file di configurazione di MinerGate che i ricercatori di McAfee sono riusciti a risalire all'indirizzo email usato dall'attaccante, un membro di una crew di hacking RDP di lingua araba.
L'indicizzazione dei documenti
L'affiliato #34 utilizza anche un tool molto interessante, un software che indicizza tutti i file. Una volta installato questo software, chiamato Everything, indicizzerà tutti i nomi di file e cartelle, di modo che possa rapidamente cercare i file usando una parola chiave. Il programma rende perfino possibile cercare contenuti all'interno dei file indicizzati, anche se questa operazione si svolge molto lentamente. Everything è in grado di rendere al suo creatore l'indice completo del filesystem. Insomma, in poco tempo l'attaccante è in grado di individuare dati sensibili tramite ricerca per keyword: se un file contiene le parole "secret", "password", "bank account" ecc.. l'attraccante può esfilitrare questi file nella forma non criptata, rubando segreti aziendali, informazioni finanziarie, credenziali di login, dati personali ecc.. E' una forma di massimizzazione del profitto che può derivare complessivamente dall'attacco.
Ricordiamo che il ransomware Sodinokibi non è ancora risolvibile gratuitamente: un backup necessariamente isolato dalla rete, resta a tutt'oggi l'unica soluzione per ottenere di nuovo l'accesso ai file compromessi.
Nessun commento:
Posta un commento