lunedì 19 aprile 2021

Ransomware Ryuk: l'update delle tecniche di hacking lo rende la più grave cyber minaccia alle aziende

Nuovi recenti attacchi, tutti rigorosamente mirati e contro reti aziendali, hanno mostrato come gli operatori del ransomware Ryuk abbiano optato per nuove tecniche per ottenere l'accesso iniziale alla rete bersaglio. La tendenza mostrata in queste settimane è chiara: Ryuk predilige host con connessioni desktop remote esposte in Internet. 

Sono stati i ricercatori di AdvancedIntelligence, che da oltre un anno osservano gli attacchi di Ryuk, ad individuare un trend molto chiaro: la maggior parte degli attacchi di quest'anno ha visto come bersaglio le connessioni RDP esposte. L'attacco è piuttosto banale: gli attaccanti eseguono attacchi di brute force su larga scala contro host con RDP esposte. 

Ciò non significa, va detto, che il gruppo di Ryuk non usi più attacchi di phishing o spear phishing, ma sono tecniche, queste, che mano a mano sono divenute meno frequenti. In passato Ryuk ha anche usato la campagna BazaCall per distribuire il malware: il malware era distribuito tramite call center dannosi che, prendendo di mira utenti aziendali, indirizzavano loro documenti Excel compromessi coi quali avviare la catena d'infezione. 

I nuovi trend di Ryuk

I ricercatori di AdvIntel riportano anche che, per preparare un attacco, gli attaccanti eseguono una fase di ricognizione sulla vittima che viene divisa in due step: uno serve a determinare il valore delle risorse e degli assets presenti sul dominio compromesso, in dettaglio condivisioni di rete, utenti, unità organizzative Active Directory. Col secondo step invece gli attaccanti inquadrano la vittima dal punto di vista delle entrate e dei profitti, così da poter impostare una richiesta di riscatto sicuramente alta, ma che l'azienda vittima sia effettivamente in grado di pagare per ripristinare i propri sistemi. 

Per raccogliere le informazioni relative alle Active Directory gli operatori di Ryuk utilizzano in prima battuta uno strumento conosciuto e collaudato chiamato AdFind, che è un tool free command line per l'esecuzione di query in Active Directory. In fase post exploit invece viene usato il tool Bloodhound che analizza le relazioni in un dominio Active Directory per individuare i percorsi di attacco. 

Fonte: AdvIntel

Ulteriori informazioni sono raccolte usando il tool Cobalt Strike, ormai uno standard nelle operazioni ransomware: tra le altre cose, questo tool è utile perchè individua soluzioni antivirus ed eventuali meccanismi di individuazione e risposta degli endpoint (EDR - Endpoint Detection and Response). 

In alcuni attacchi è stato registrato anche l'uso di KeeThief, che è un tool open source per estrarre le credenziali salvate nel password manager KeePass: questo tool è stato usato per aggirare i meccanismi di individuazione e risposta degli endpoint, ma anche altri strumenti di difesa, semplicemente sfruttando le credenziali dell'amministratori IT locale con accesso al software EDR. Più raro è invece l'uso di una versione portable di Notepad++ per eseguire script Powershell su sistemi che hanno restrizioni all'esecuzione di PowerShell. 

Per aumentare le permissioni sulle macchine infette, sono sfruttate anche due diverse vulnerabilità:

- CVE-2018-8453: è una vulnerabilità critica di "privilege escalation" che affligge le versioni del SO Windows dalla 7 alla 10 e i SO Windows Server dalla 2008 alla 2016: consente ad un attaccante remoto di eseguire codice arbitrario in modalità kernel e si verifica quando la componente Win32k non riesce a gestire correttamente gli oggetti in memoria. 

- CVE-2019-1069: è una vulnerabilità critica di "privilege escalation" che riguarda Windows 10, Windows server 2016 e 2019 . Riiede nella maniera in cui l'Unità di Pianificazione valida certe operazioni file. Se un attaccante riesce a sfruttare con successo questa vulnerabilità può ottenere i privilegi di amministrazione sul sistema infetto. 

Proprio negli ultimissimi giorni è stato registrato l'uso di un ulteriore tool: è un penetration tool open source si chiama CrackMapExec che estrae le credenziali di amministrazione e consente lo spostamento laterale nella rete. 

Link utili

Report completo, contenente anche le misure di mitigazione  - Adversary Dossier: Ryuk Ransomware Anatomy of an Attack in 2021

Nessun commento:

Posta un commento