martedì 23 giugno 2020

Malware che si nascondo nella rete (e ci restano): la coppia TrickBot Ryuk


Ne abbiamo parlato ieri qui, prendendo spunto da una discussione che sta animando la comunità dei ricercatori di sicurezza: i ransomware (ma in generale i malware) non si limitano ad infettare una rete per poi scomparire una volta eseguite le attività dannose. Al contrario, molto spesso, ci restano per futuri attacchi. 

La discussione è originata dal fatto che sul sito che gli attori del ransomware Maze hanno approntato per i data leak dei file rubati alle vittime, è comparso il report scritto dal team IT di una grande azienda di Singapore, i cui tecnici hanno commesso l'ingenuità di pubblicare sulla rete ancora infetta il report (con analisi e contromosse) riguardante l'infezione ransomware. Dopo pochi giorni il report è finito in prima pagina sul sito di leak a mò di monito: "siamo ancora qui". 

Oggi arriva una ulteriore conferma, a ribadire che prima di intervenire su una rete per bloccare una infezione occorre avere la certezza che non vi siano più accessi non autorizzati: il ransomware Ryuk e il trojan TrickBot hanno iniziato ancora una volta a cooperare, come denunciano da  BleepingComputer. Di nuovo, perché non è neppure la prima volta...

I ricercatori della redazione, analizzando i log delle attività su uno dei server usati dal trojan TrickBot nelle fasi post-compromissione, hanno scoperto che i suoi gestori distribuiscono il ransomware Ryuk nelle reti compromesse fino a due settimane dopo l'accesso. In dettaglio, una volta compromessa la rete, gli attaccanti avviano una scansione in cerca di live system che hanno specifiche porte aperte e rubano gli hash delle password dai gruppi Admin.

Utilizzano CobaltStrike, un software che simula attacchi sui sistemi per testarne il rischio di breach: il componente DACheck è usato per verificare se l'utente corrente abbia o meno i privilegi di Domain Admin e per verificare tutti i membri di questo gruppo. Viene usato anche una vecchia conoscenza dei penetration tester, ovvero Mimikatz, per estrarre le password necessarie per i movimenti laterali lungo le reti. 

Fonte: bleepingcomputer.com

Vengono testati sopratutto servizi come FTP, SSH, SMB, Server SQL, desktop remoto perchè sono molto utili per spostarsi da un computer ad un altro lungo una rete. Gli attaccanti a questo punto profilano ogni macchina ed estraggono più informazioni possibili: mappano quindi la rete e , nei fatti, vi ottengono il controllo completo, potendo accedere a quanti più host possibili.

A questo punto inizia la distribuzione del ransomware Ryuk a tutte le macchine accessibili. L'operazione di accedere alle macchine sulla rete e di profilarle dura circa due settimane, poi viene distribuito il ransomware. Nei log si vedono anche alcuni rari casi in cui il ransomware viene distribuito già il giorno dopo l'accesso di TrickBot sulla rete, in altri casi invece gli attaccanti impiegano mesi. Probabilmente il "periodo di incubazione" è da considerarsi variabile, spiegano i ricercatori, correlato solo alla disponibilità di tempo degli attaccanti e, in alcuni casi, alle difficoltà incontrate nel reperire password e accessi. Altra possibilità è invece che il periodo di incubazione sia da collegare al tempo che gli attaccanti impiegano ad analizzare i dati raccolti, decidendo quali target sono sufficientemente di valore per avviare la criptazione e quali invece sono di scarso valore (quindi difficilmente ne verrà in ritorno un riscatto).

Trickbot in breve
TrickBot è un trojan bancario che tenta il furto delle credenziali del banking online, dei portafogli di criptovaluta, le informazioni del browser e altre credenziali salvate sul tuo PC e browser. In continua evoluzione, si distingue per l'architettura modulare, che gli permette di integrare nuovi moduli per ampliare la gamma delle azioni dannose che può eseguire su un sistema infetto. Esegue numerose tecniche per garantirsi di restare nascosto agli antivirus e ai servizi di sicurezza in generale. Da molto tempo installa backdoor sulle reti infette, garantendo (probabilmente dietro compenso) l'accesso ai sistemi compromessi anche ad altri malware. 

Nessun commento:

Posta un commento