Emotet e Trickbot hanno un nuovo concorrente: anche il malware Buer debutta come distributore di ransomware

Analizzando alcune recentissime campagne di attacco del ransomware Ryuk, alcuni ricercatori di sicurezza hanno individuato in diffusione il malware Buer: Buer, conosciuto già dall'Agosto 2019, è in affitto nel dark web come malware-as-a-service, in dettaglio con la funzionalità di downloader. Nel dark web è conosciuto come Modular Buer Loader. 

Scopo principale è quello di fornire un primo punto di accesso ad una macchina target a successivi attaccanti, compromettendo sistemi Windows dei quali rivendono gli accessi ad altri gruppi di cyber attaccanti. E' esattamente quanto sta già avvenendo con TrickBot e Emotet i quali, oltre a rubare credenziali e dati sensibili, installano sulle macchine infette delle backdoor che poi vengono rivendute ad altri attaccanti, soprattutto gang ransomware: gli attaccanti ransomware quindi non devono occuparsi di cercare un punto di accesso ad una macchina violandone la sicurezza, ma sfruttano accessi già presenti.

La novità recente riguardo a Buer è che se fino a poco tempo fa era usato solo per distribuire malware bancari, oggi è usato anch'esso negli attacchi ransomware: il numero dei malware che collaborano con i ransomware quindi cresce e possiamo definitivamente parlare della triade Emotet, TrickBot e Buer. 

Qualche dettaglio tecnico

Buer è un malware modulare scritto in C: usa un server di comando e controllo (C&C) multipiattaforma basato su ASP.NET Core MVC. Il server di comando e controllo permette agli attaccanti di tenere traccia del numero di download riusciti dopo una campagna di diffusione, ma anche di assegnare specifiche attività al malware stesso e ai bot. I sistemi compromessi sono elencati nel server e gestiti a distanza, permettendo agli attaccanti di organizzare attacchi raggruppando i target secondo:

• il paese in cui sono;
• la versione del SO che eseguono (32 o 64 bit);
• il numero dei processori disponibili;
• i livelli di autorizzazioni e permissioni assegnati al bot. 

Una sezione del pannello di controllo. Fonte: https://news.sophos.com/

Coloro che decidono di operare con Buer, possono acquistarne una propria versione dal sito di affiliazione del malware, accedendo poi al pannello del server C&C da un singolo indirizzo IP. Aggiunta o modifica di indirizzi IP sono a pagamento, come fosse un'espansione del servizio. 

Dal pannello di controllo si possono anche pianificare attività, distribuire aggiornamenti ai bot e integrare moduli aggiuntivi per eseguire ulteriori attività dannose. 

Come si diffonde
Viene distribuito tramite campagne di malspam, talvolta lanciate anche da servizi online piuttosto popolari oppure sfruttando servizi di archiviazione cloud: in maniera molto simile ad Emotet, l'email contiene sempre un documento contenente script dannosi che l'utente deve abilitare. 

Una volta entro un sistema, Buer esegue una serie di controllo per verificare impostazioni di lingua e localizzazione: qualora la macchina bersaglio si trovi in una posizione geografica poco utile, il processo si auto termina e il malware non viene installato. 

Alcune operazioni di mitigazione
In attesa che siano aggiornati IoC e firme e che il malware diventi individuabile dalla maggior parte delle soluzioni di sicurezza più diffuse, il CERT-AgID consiglia di:

• non abilitare mai macro, a meno che non necessarie e provenienti da soggetti assolutamente affidabili e già conosciuti;
• visto che mira principalmente le aziende, è consigliabile prevedere cicli periodici di formazione affinchè il personale sia messo in consapevolezza dei rischi derivanti da spam e phishing e sappia come reagire di fronte ad eventuali rischi;
• implementare gli indicatori di compromissione, non appena disponibili, sui propri sistemi di sicurezza.

Chiudere le porte in faccia a questa triade di malware non significa solo salvare i propri dati da data breach, ma anche sbarrare letteralmente le porte ad eventuali attacchi ransomware correlati.