E' stato individuato un nuovo ransomware (già attivo anche in Italia), che colpisce i Windows domain: irrompe nei server Microsoft Exchange sfruttando la suite di vulnerabilità ProxyShell.
ProxyShell indica un insieme di tre diverse vulnerabilità:
- la CVE-2021-34473;
- la CVE-2021-34523;
- la CVE-2021-31207.
Le tre vulnerabilità sono già state patchate rispettivamente le prime due ad Aprile e la terza nel mese di Maggio: nel frattempo però sono stati rivelati ulteriori dettagli tecnici riguardo a ProxyShell, fatto che ha permesso di "aggiustare" e riprodurre l'exploit. Manco a dirlo, i cyber criminali hanno ricominciato a scansionare attivamente Internet in cerca di server Microsoft Exchange vulnerabili sui quali installare backdoor, da usare per futuri accessi e, appunto, un nuovo ransomware chiamato LockFile.
La prima traccia di queste scansioni massive risale al 12 Agosto, quando alcuni ricercatori hanno scoperto che alcuni attaccanti avevano violato un server Microsof Exchange usato come honeypot usando, appunto, la vulnerabilità Proxyshell, per distribuire webshell.
Started to see in the wild exploit attempts against our honeypot infrastructure for the Exchange ProxyShell vulnerabilities. This one dropped a c# aspx webshell in the /aspnet_client/ directory: pic.twitter.com/XbZfmQQNhY
— Rich Warren (@buffaloverflow) August 12, 2021
Ad ora, queste scansioni sono ancora in corso.
E' tramite queste webshell che gli attaccanti distribuiscono e eseguono i loro programmi dannosi: il ricercatore di sicurezza Rich Warren, che sta studiando attivamente questi attacchi, aveva dichiarato qualche tempo fa che dalle sue analisi risultava che le webshell erano usato per installare principalmente una backdoor .NET usata a sua volta per scaricare un payload risultato, però, innocuo.
Ora è arrivato l'attacco vero e proprio: è iniziata, appunto, la campagna di attacco del ransomware LockFile. Che, tra le altre cose, non utilizza soltanto ProxyShell, ma, dopo l'exploit del server lancia una tipologia di attacco definito PetitPotam (qui il PoC): in questo modo l'attaccante prende il controllo del controller di dominio, esegue un escalation di privilegi quindi prende il controllo del Windows domain. Poi arriva LockFile
LockFile: qualche info tecnica
LockFile è un ransomware molto recente e ancora sotto analisi tecnica, individuato per la prima volta a Luglio. E' identificabile, prima di tutto, dall'estensione di criptazione che aggiunge ai file criptati, ovvero .lockfile. Come ransomware si è dimostrato estremamente pesante, necessitando dell'uso di molte risorse e determinano molteplici freeze dei sistemi. Ma il dato più importante è che è il primo ransomware che usa la crittografia intermittente.
Le generazioni di ransomware più recenti utilizzano, solitamente, la cosiddetta "criptazione parziale" per rendere più veloce la criptazione dei file: LockFile, invece, non cripta i primi blocchi di un file ma ogni 16 byte in forma intermittente. Conseguenze? Un documento di testo resta, in parte, leggibile e, statisticamente parlando, rimane estremamente simile al documento originale. Il punto sta qui: molte soluzioni anti ransomware eseguono verifiche del contenuto dei file tramite analisi statistica e, in base alle variazioni, rilevano la routine di criptazione. Il fatto che la variazione sia minima rende questo trucchetto un ottimo strumento di elusione delle soluzioni di sicurezza.
Le tecniche di elusione dell'individuazione, purtroppo, non finiscono qui: altro problema è che LockFile non necessita di connettersi ad alcun serve di comando e controllo, fatto che garantisce al malware di lavorare ulteriormente sotto traccia. Non è una novità, al contrario, l'autocancellazione del ransomware al termine della criptazione dei sistemi: è una misura per impedire ai ricercatori di poter analizzare il malware.
La nota di riscatto
La prima nota di riscatto, chiamata LOCKFILE-README.hta non presentava particolari brandizzazioni
 |
| La prima versione della nota di riscatto. Fonte: bleepingcomputer.com |
Nelle ultime settimane però ha subito un restyling grafico e ora si presenta chiaramente come LockFile. Cambia anche il nome del file, secondo il formato [nome_della_vittima]-LOCKFILE-README.hta.
 |
| La versione attuale della nota di riscatto. Fonte: bleepingcomputer.com |
Come si può vedere, la nota di riscatto contiene le solite informazioni per stabilire un contatto con gli attaccanti, alcune istruzioni e il link ad una pagina .onion raggiungibile via Tor. Un dato curioso è che l'email di contatto usata per la campagna è contact@contipauper.com, che parrebbe riferire alle operazioni del ransomware Conti.
Mitigazione del rischio
Fortunatamente, nonostante tutto, non si è del tutto impotenti di fronte a questo nuovo ransomware (per il quale, per ora, non ci sono soluzioni): dato che FileLocker utilizza sia ProxyShell che l'attacco PetitPotam NTLM Relay, è fondamentale e urgente che gli amministratori Windows procedano all'installazione degli update più recenti.
Per la suite di vulnerabilità ProxyShell è consigliabile l'installazione dell'update cumulativo di Microsoft Exchange.
Per patchare l'attacco PetitPotam, è disponibile una patch non ufficiale oppure si possono applicare i filtri NETSH RPC che bloccano l'accesso alle funzioni vulnerabili nell'API Microsoft Encrypting File System Remote Protocol.
Ricordiamo comunque che l'unica soluzione sicura è eseguire prima possibile backup (offline o comunque ospitati in rete diversa da quella aziendale) dei contenuti dei propri server Exchange.
Nessun commento:
Posta un commento