lunedì 7 settembre 2020

Ransomware: gli exploit più usati sono i bug delle VPN, ma gli attacchi RDP restano sul podio


Per tutta la prima parte del 2020 gli attacchi ransomware contro le aziende si sono mantenuti a livelli costantemente alti. Per quanto ogni gruppo ransomware operi secondo un proprio set di competenze, la maggior parte degli attacchi ransomware nel primo trimestre del 2020 può essere attribuita ad un numero ridottissimo di vettori di intrusione. 

Tra i primi tre metodi di intrusione più utilizzati troviamo gli endpoint RDP non protetti, le email di phishing e gli exploit di applicazioni VPN aziendali. 

RDP: ancora sul podio
Sul gradino più alto del podio dei vettori usati per attacchi ransomware troviamo il Remote Desktop Protocol (RDP).  I dati provenienti dal report di Coveware, azienda specializzata in risposta agli attacchi ransomware e nella negoziazione con gli attaccanti, parlano chiaro: l'RDP è il punto di ingresso più comunemente sfruttato negli attacchi ransomware avvenuti quest'anno. 



A prima vista, qualcuno potrebbe pensare che l'RDP sia il principale vettore di attacco ransomware a causa delle attuali configurazioni del lavoro da casa (telelavoro o smart working), adottato in massa da aziende ed enti per continuare l'attività lavorativa anche mantenendo chiusa la sede di lavoro a causa della pandemia Covid19. Ciò non è del tutto vero: l'RDP è diventato nei fatti il principale vettore di attacco non dopo l'esplosione della pandemia da Covid, ma ben prima, già dallo scorso anno quando il "modello di business" dei ransomware è radicalmente cambiato, optando per attacchi mirati contro enti e aziende al posto degli attacchi massivi contro home user. 

Nei fatti l'RDP rappresenta semplicemente, ad ora, la migliore tecnologia disponibile per la connessione  a sistemi remoti e sono milioni i computer con le porte RDP esposte online, il che rende l'RDP un efficace vettore per tutte le tipologie di attacco, non solo per i ransomware. Vi sono interi gruppi di cyber attaccanti specializzati nella ricerca di endpoint con RDP vulnerabili, contro i quali lanciare attacchi di brute-forcing per individuare le credenziali. Basta una password debole e "il gioco è fatto", l'accesso alla rete aziendale è avvenuto e può essere subito utilizzato per un attacco o può essere rivenduto nel dark web.

Il legame tra "cacciatori di RDP" e operatori ransomware si è fatto così stretto che nel dark web non è insolito vedere chiudere "RDP shop" perchè i suoi gestori finiscono per lavorare direttamente ed esclusivamente con un gruppo di operatori ransomware: il modello dei RaaS (ransomware as a service) deve molto a questa unione contingente di interessi. 

Applicazioni VPN e i loro bug
Il 2020 è anche l'anno nel quale si è assistito ad una inedita crescita dell'uso delle VPN come strumenti di intrusione. Sin dall'Estate del 2019 sono state individuate molteplici e gravi vulnerabilità in appliance VPN molto conosciute e diffuse: una volta che viene diffuso il codice per l'exploit di una di queste vulnerabilità iniziano immediatamente gli attacchi. Scoperta la vulnerabilità qualcuno prepara il codice per l'exploit e lo mette in vendita per gli attaccanti. Va detto che alcuni proof-of-concept (ovvero progetti di codici di exploit da verificare alla prova dei fatti) sono prodotti dai ricercatori di sicurezza a finalità accademiche-conoscitive, ma ovviamente gli attaccanti non si fanno troppi scrupoli ad usare e perfezionare tali POC e usarli in attacchi reali: anche per questo la pratica della pubblicazione dei POC è non poco criticata. 

Gli exploit per i bug delle VPN sono impiegati molto spesso in attacchi di cyber spionaggio, talvolta per il furto di dati e proprietà intellettuali: alcuni sviluppatori di questi exploit hanno deciso, similmente ai cacciatori di RDP, di riservare i propri servizi ad altre bande di cyber attaccanti spesso rivendendo direttamente l'accesso. Tra le VPN più colpite troviamo il gateqay di rete di Citrix e i server VPN di Pulse Sicure: ransomware come Sodinokibi, Ragnarok, Maze, Nefilim usato i bug di Citrix (come la CVE-2019-19781) per accedere alle reti aziendali. 

Black Kingdom, REvil invece sfruttano la vulnerabilità CVE-2019-11510 della VPN Pulse Connect Secure. 

Nessun commento:

Posta un commento