Del ransomware Conti parlammo già in tempi non sospetti, nel Luglio 2020, quando aveva iniziato a ritagliarsi uno spazio sufficiente da poter rientrare nel novero dei "ransomware di punta". Al tempo la comunità dei ricercatori di sicurezza e degli ethical hacker lo aveva definito come il successore del famigerato ransomware Ryuk, uno dei primi ad adottare la tecnica della doppia estorsione che poi si è standardizzata e diffusa in tutte le maggiori gang ransomware (anche se ormai, siamo arrivati alla tripla estorsione con l'attacco DDoS che si aggiunge al furto e alla criptazione dei dati).
Purtroppo tutte le aspettative nefaste sul ransomware Conti si sono confermate: è ad oggi una delle campagne ransomware più attive al mondo, con una particolare predilezione per gli ospedali statunitensi e, purtroppo, per la pubblica amministrazione e le piccole e medie imprese italiane. Di qualche giorno fa, solo per fare un esempio, è l'attacco registrato sui sistemi di Artsana, la nota azienda italiana i articoli per l'infanzia e sanitari mentre dell'attacco contro i sistemi San Carlo abbiamo dato notizia qui. Data la situazione, può essere utile fornire un aggiornamento su Conti.
Qualche info tecnica
Conti è un ransomware as a service, uno degli ormai diffusissimi modelli di business con il quale più persone, dette affiliati, affittano il malware dai suoi sviluppatori e rendono loro una parte dei guadagni ricavati dalle estorsioni. Differisce dai modelli RaaS comuni, però, perché i suoi sviluppatori pagano ai distributori / affiliati non una percentuale dei proventi, ma quello che potremmo definire "uno stipendio" in aggiunta ai proventi dei riscatti.
Verso la fine di Settembre 2021 il CERT statunitense ha pubblicato uno specifico alert su questa minaccia a causa del numero sempre crescente di aziende statunitensi (soprattutto legati all'ambito sanitario) colpite tra il 2020 e i primi mesi del 2021. Qui si legge che Conti è diffuso principalmente tramite:
- campagne di spear phishing, con utilizzo frequente di allegati email dannosi inviati come risposta entro conversazioni precedentemente già avviate dalla vittima. La maggior parte di questi allegati sono comunissimi file Word che contengono, integrati al loro interno, script che molto spesso sono usati per la diffusione di malware ulteriori, soprattutto TrickBot, IceID e CobalStrike. Quest'ultimo è un tool di penetration testing molto spesso usato per semplificare spostamenti laterali entro le reti bersaglio e ampliare la superficie di attacco;
- attacchi sull'RDP (Remote Desktop Protocol) con l'uso di credenziali deboli o rubate;
Per approfondire > Nel darkweb è boom di vendite di accessi abusivi alle reti hackerate
- software fake sponsorizzati tramite l'ottimizzazione sui motori di ricerca più popolari;
- tramite altre reti di distribuzione malware come Zloader;
- tramite vulnerabilità comuni, anche già conosciute. All'inizio di Settembre sono stati registrati molti attacchi portati tramite la vulnerabilità (già nota e risolta!!) ProxyShell.
Per approfondire > Server Microsoft Exchange sotto attacco: oltre a LockFile, anche il ransomware Conti sta usando ProxyShell
L'elenco dei tool utilizzati da Conti ransomware. Fonte: SophosLabs |
La foto sopra mostra i tool usati da Conti per lanciare ed eseguire i propri attacchi: tra questi si nota anche Router Scan, un tool di penetration testing per eseguire attacchi di brute force su router, camere di videosorveglianza e dispositivi di storage collegati alla rete e con interfacce web. Non solo pc quindi, Conti attacca tutti i dispositivi collegati alla rete bersaglio.
Per individuare le password, in formato hash o in chiaro, sono usati tool come Mimikatz o Windows Sysinternals: con questi tool sono eseguite le escalation di privilegi entro i domini bersaglio per eseguire movimenti laterali e ulteriori attacchi post exploit.
Le tecniche di evasione / elusione dei controlli e dei rilevamenti
Un'altra caratteristica chiave di Conti è la sua elevata capacità di eludere / evadere i controlli di sicurezza. La prima cosa da dire è che il payload del ransomware viene diffuso solo dopo l'uso di una serie di tool come CobalStrike e altri: è usata solitamente la tecnica di iniezione delle DLL per "spingere" il malware direttamente in memoria. Il file binario del ransomware quindi non viene mai scritto nel file system della macchina bersaglio: in un colpo solo, questa tecnica chiamata "fileless" risolve uno dei problemi principali dei ransomware, ovvero il fatto di lasciare nei sistemi delle precedenti vittime degli artefatti che gli analisi possono usare per analizzare il ransomware ed eventualmente carpirne i segreti e violarne l'algoritmo di criptazione.
Oltre a questo, gli sviluppatori di Conti e i suoi affiliati utilizzano moltissimi ulteriori tool anche personalizzati per offuscare il codice stesso del malware e nascondere gli indirizzi dei server dai quali sono scaricati i payload durante gli attacchi. Insomma, Conti lascia così poche tracce da risultare quasi invisibile.
La catena di attacco avviene in due fasi diverse: la prima prevede l'uso di una DLL CobalStrike di appena 200kb che alloca lo spazio necessario di memoria per decriptare e caricare lo shellcode nella memoria di sistema. Viene quindi avviata la comunicazione C2C e si procede al download di un altro payload, il primo che viene caricato in memoria: questo è un altro loader shellcode CobalStrike che contiene le istruzioni per la DLL loader definitiva. Tutti passaggi che rendono ancora più complessa l'individuazione dell'attacco in corso anche tramite sistemi di individuazione comportamentale.
Mitigazioni
L'alert del CERT statunitense contiene una serie di indicazioni utili a mitigare i rischi di attacco da parte di Conti. Rimandando, per ulteriori dettagli, al testo completo, ecco le misure di mitigazione in breve:
- implementare l'autenticazione multi fattore;
- segmentare la rete e filtrare il traffico. La segmentazione della rete può limitare la diffusione del ransomware nella rete esattamente come i compartimenti stagni impediscono la diffusione delle fiamme durante un incendio. Il filtraggio per bloccare traffico sia in entrata che in uscita da/verso indirizzi IP segnalati è molto efficace per impedire che gli attacchi possano avere successo;
- utilizzare solidi filtri antispam, così da ridurre al minimo la quantità di phishing e spear phishing che può arrivare nelle caselle email di dipendenti e dirigenti;
- eseguire costantemente scansioni della rete in cerca di vulnerabilità e mantenere aggiornati i software. L'utilizzo da parte di Conti della vulnerabilità ProxyShell risolta da mesi è l'estrema dimostrazione di quanto sia importante mantenere aggiornati applicativi e sistemi operativi;
- implementare tool di individuazione e risposta sugli endpoint;
- limitare al minimo l'accesso alle risorse in rete, restringendo principalmente l'uso dell'RDP;
- verificare regolarmente lo status degli account con privilegi di amministrazione e adottare sistemi di controllo degli accessi, tenendo di conto che i privilegi di amministrazione devono andare di pari passo con le mansioni che l'utente deve svolgere. E' importante negare l'accesso a certe risorse a quegli account che, per mansioni svolte, non hanno bisogno di accedere a quelle specifiche risorse in rete;
- analizzare regolarmente i log per garantire che i nuovi account siano utenti legittimi.
Fonti utili:
https://us-cert.cisa.gov/ncas/alerts/aa21-265a
Nessun commento:
Posta un commento