Come raccontato qualche giorno fa, il 6 Aprile scompare il sito web del Ministero della Transizione Ecologica. In diretta radio, il Ministro Roberto Cingolani, annunciava che “Mentre vi parlo, oltre alla sicurezza energetica, vi dico che abbiamo minacce esterne rilevate sulla rete informatica del Ministero”. Tutti i sistemi venivano messi offline e così sono rimasti per alcuni giorni.
Il sito web torna online mentre si fa strada il sospetto Ursnif
Il sito web è tornato online dopo 4 giorni di disservizio e le tempistiche hanno fatto sospettare gli esperti di cyber sicurezza che si fosse in presenza di un attacco malware definito. Verosimilmente l'infrastruttura è stata messa offline per evitare la diffusione di qualche attore di minacce.
I sospetti si stanno concetrando mentre, ricordiamo, sono in corso indagini da parte delle autorità competenti, su Ursnif. Infatti il CERT-AGID aveva messo in guardia di una campagna di email di spam con riferimenti espliciti al Mite. Sul canale Telegram del CERT viene pubblicato, in data 23 Marzo, l'alert relativo a due diverse campagne di email di spam veicolanti, appunto Ursnif.
 |
| Fonte: canale Telegram CERT-AgID |
In dettaglio, le email hanno per oggetto:
- per la campagna del 22 Marzo: "Adattamento obbligatorio problema energetico in Italia, come si dovrà comportare la vostra impresa";
- per la campagna del 23 Marzo: "Adeguamento obbligatorio crisi energetica in Italia, come si dovrà comportare la vostra attività"
L'allegato è un classico archivio ZIP contenente a sua volta un file HTA contenente le istruzioni per il download del malware. Qui gli IoC.
Come il CERT ricorda settimanalmente, Ursnif è uno dei malware più diffusi in Italia non solo a finalità di furto dati, ma come "porta di accesso" alle reti violate.
Ursnif: qualche dettaglio
Ursnif è a tutti gli effetti un efficace, letale e silenzioso malware finalizzato inizialmente al furto di informazioni finanziarie e bancarie: si è poi evoluto nel tempo, iniziando a prendere di mira molti altri tipi di dati tra i quali le credenziali email e di altri account e i dettagli della macchina utilizzata dalla vittima bersaglio. Una volta acceduto ad un account di posta, Ursnif cerca la rubrica contatti, continuando a diffondere l'email vettore a tutti i nuovi indirizzi.
Il metodo di attacco non è affatto fantascientifico, ma anzi, è piuttosto banale e fa leva sull'anello più debole della catena della cybersecurity, ovvero l'essere umano. La maggior parte delle email di phishing che diffondono questo malware infatti superano i filtri antispam, sia perimetrali che delle soluzioni antivirus, così molto spesso finiscono nella casella di posta dei dipendenti: basta un solo dipendente non necessariamente malintenzionato, ma semplicemente distratto o poco consapevole di questa tipologia di rischio, che scarica e apre l'allegato dannoso (solitamente un file Office di formato .xls, .xlm, .doc), abilita la macro ed il gioco è fatto.
Il download dell'eseguibile, ospitato in un server C&C, viene avviato dal codice contenuto nella macro: l'eseguibile sarà camuffato da file .CAB. Le tecniche di attacco sono poi andate variando nel tempo: ad esempio, in alcuni casi, il file .CAB viene sostituito da file VBS o JS, così come varia il livello di offuscamento del codice. In tutti i casi comunque, la prima operazione che il malware compie è quella di eseguire tutte le azioni necessarie per garantirsi la persistenza sul sistema.
Urnsif come ariete
Una delle particolarità di Ursnif è quella di installare, molto spesso, backdoor nelle reti infette. Questi accessi, dei quali solitamente la vittima non ha cognizione, restano silenti fino a quando gli attaccanti non decidono di usarli. Non è però detto che sarà lo stesso attaccante che ha distribuito Ursnif a sfruttarne la backdoor su una determinata rete, anzi. Gli accessi alle reti sono, assieme ai dati personali, uno dei mercati più fiorenti nel mondo del cyber crime.
Per saperne di più > Nel darkweb è boom di vendite di accessi abusivi alle reti hackerate
Gli esperti di cyber security sospettano proprio questo: che l'attacco che ha portato al down delle infrastrutture del Mite non fosse già un attacco ransomware, ma una fase iniziale di attacco, quella che è tecnicamente definibile come "infezione da malware precursore".
Molto spesso accade che, dopo un attacco ransomware, molte aziende rilevino nelle proprie reti accessi abusivi. Questo può avvenire sfruttando le VPN, sfruttando vulnerabilità ma molto spesso avviene per opera di malware che precedono l'attacco vero e proprio. Questi malware precursori hanno due scopi, principalmente:
- raccogliere tutte le informazioni necessarie sul dispositivo e sulla rete, per lanciare attacchi mirati;
- fungere da accesso alla rete colpita.
Una volta che il malware precursore è installato nella rete e si è garantito la persistenza, può essere usato in qualsiasi momento (anche a distanza di settimane, mesi o anni) per eseguire cosidetti movimenti laterali, ovvero per spostarsi lungo la rete andando a infettare tutti i dispositivi ad essa collegati. Gli strumenti per i movimenti laterali sono molteplici, molto spesso però si usano beacon di Cobal Strike. La distribuzione del ransomware avviene, solitamente, in fase successiva.
Si sospetta quindi che, nel caso del MITE, Ursnif sia stato il malware precursore di qualche attacco ransomware. La pronta reazione e la messa offline in via cautelare delle infrastrutture sembrerebbero aver impedito la diffusione dell'infezione (mentre ancora è presto per affermare se vi sia stato data breach). Infatti Ursnif e malware simili come Emotet, Dridex o TrickBot sono obbligati a comunicare con i propri server C&C: aziende che hanno a disposizione strumenti di monitoraggio del traffico di rete efficaci sono in grado di individuare queste comunicazioni e disattivare immediatamente la connessione.
Nessun commento:
Posta un commento