Il Ransomware Conti si schiera a difesa del governo russo e un ricercatore ucraino pubblica il suo codice sorgente. Il top ransomware sta per scomparire?

Anche il mondo del cyber è stato scosso e si è schierato lungo le fratture prodotte dalla guerra iniziata in Ucraina nel 2014 e giunta proprio in questi giorni al suo massimo culmine. Già sono rimbalzate su tutti i media mondiali le iniziative di Anonymous contro la Russia  (che ha lanciato la campagna #OpRussia), si è parlato anche della cyber war che la Russia ha lanciato contro l'Ucraina tramite una lunga serie di attacchi i cui strascichi sono già arrivati in Italia (parliamo del malware HermeticWiper) e si trovano anche alcuni report sulla cyber war che gli Stati Uniti hanno scatenato contro la Russia. Meno risalto ha invece avuto la frammentazione delle principali bande ransomware tra i vari schieramenti (fisicamente) in campo alle porte di Kiev. Tra tutti, si è resa molto interessante la vicenda che ha riguardato il ransomware Conti, del quale pensiamo non siano necessarie molte presentazioni. Parliamo infatti del top ransomware che, insieme a LockBit, vanta oggi il maggior volume di attacchi e di guadagni ottenuti dalle estorsioni. 

Per approfondire >

• Ransomware Conti: è arrivato il successore di Ryuk?
• Cyber attacchi in Italia: anatomia del ransomware Conti
  
  

Conti si schiera con la Russia...

Il ransomware Conti ha una nuova e potente arma: acquisite le operazioni di TrickBot

TrickBot è stato uno degli incubi più neri per i ricercatori di cybersecurity e i team IT di tutto il mondo. Le sue operazioni sono in corso ormai da quattro anni ed hanno avuto un volume e un'intensità tali da fargli guadagnare la "top 10" dei malware più temibili degli ultimi anni. 

Qualche giorno fa TrickBot ha annunciato lo stop alle proprie operazioni, visto che una parte consistente del vertice organizzativo della banda di cyber criminali è entrato a far parte delle operazioni del ransomware Conti. 

Trickbot in breve
Trickbot è un malware pensato per Windows: è un classico esemplare di malware modulare, ovvero che si compone di più moduli ognuno dei quali è deputato ad una diversa funzione dannosa. Le operazioni comunemente svolte da Trickbot sono furto di informazioni sensibili, furto di credenziali, primo accesso alla rete bersaglio, distribuzione di malware nelle reti violate, infiltrazione dei domini Windows. 

Ha sempre lavorato in coppia coi ransomware: dal 2016, anno del suo debutto, è stato responsabile dell'infezione di milioni di dispositivi in tutto il mondo, molti dei quali, dopo un iniziale accesso di TrickBot, sono stati poi colpiti da infezioni ransomware di varie varietà. Tra le prime collaborazioni troviamo quella con il ransomware Ryuk, al quale il gruppo dietro TrickBot concedeva l'accesso alle reti violate in cambio della spartizione dei proventi derivati dal riscatto delle vittime. Ma il divorzio è arrivato presto, quando si è preferito concedere gli accessi ai cyber criminali del ransomware Conti, più specializzati in attacchi alle reti aziendali e quindi forieri di maggiori profitti. La collaborazione con Conti prosegue ormai da anni e ha portato a guadagni ben oltre i 200 milioni di dollari. 

Bad news, Emotet is back: il malware è tornato in attività e sta ricostruendo la sua botnet

Di Emotet abbiamo parlato decine di volte: è unanimemente considerato il malware più diffuso al mondo nel passato, famoso (ma sarebbe meglio dire famigerato) per la sua botnet tramite la quale distribuiva milioni e milioni di email di spam con allegati dannosi ogni giorno. Questi allegati distribuivano il malware Emotet per infettare il dispositivo e renderlo parte della botnet, così da poter avviare ulteriori campagne di spam e installare altri payload. 

Emotet ha vantato nel passato collaborazioni con i malware di punta del cyber crime: parliamo di ransomware come Ryuk, Conti, Egregor ma anche altri malware, soprattutto QakBot (molto diffuso in Italia, anche nelle scorse settimane) e TrickBot. 

All'inizio dell'anno "il colpaccio" delle forze dell'ordine e dell'Europol: due persone finiscono in manette mentre la task force assume il controllo dell'infrastruttura della botnet. Di li a poco, la Polizia tedesca utilizza l'infrastruttura stessa per distribuire un modulo di Emotet che disinstalla il malware dai dispositivi infetti: è il 25 Aprile 2021. Quasi 700 server vengono scollegati dall'infrastruttura.

Per approfondire > Finisce un'era: il malware Emotet si auto elimina dai pc infetti in tutto il mondo. Le forze dell'ordine smantellano definitivamente la botnet

Bad news: Emotet is back

Cyber attacchi in Italia: anatomia del ransomware Conti

Del ransomware Conti parlammo già in tempi non sospetti, nel Luglio 2020, quando aveva iniziato a ritagliarsi uno spazio sufficiente da poter rientrare nel novero dei "ransomware di punta". Al tempo la comunità dei ricercatori di sicurezza e degli ethical hacker lo aveva definito come il successore del famigerato ransomware Ryuk, uno dei primi ad adottare la tecnica della doppia estorsione che poi si è standardizzata e diffusa in tutte le maggiori gang ransomware (anche se ormai, siamo arrivati alla tripla estorsione con l'attacco DDoS che si aggiunge al furto e alla criptazione dei dati).  

Purtroppo tutte le aspettative nefaste sul ransomware Conti si sono confermate: è ad oggi una delle campagne ransomware più attive al mondo, con una particolare predilezione per gli ospedali statunitensi e, purtroppo, per la pubblica amministrazione e le piccole e medie imprese italiane. Di qualche giorno fa, solo per fare un esempio, è l'attacco registrato sui sistemi di Artsana, la nota azienda italiana i articoli per l'infanzia e sanitari mentre dell'attacco contro i sistemi San Carlo abbiamo dato notizia qui. Data la situazione, può essere utile fornire un aggiornamento su Conti. 

Qualche info tecnica
Conti è un ransomware as a service, uno degli ormai diffusissimi modelli di business con il quale più persone, dette affiliati, affittano il malware dai suoi sviluppatori e rendono loro una parte dei guadagni ricavati dalle estorsioni. Differisce dai modelli RaaS comuni, però, perché i suoi sviluppatori pagano ai distributori / affiliati non una percentuale dei proventi, ma quello che potremmo definire "uno stipendio" in aggiunta ai proventi dei riscatti.

Verso la fine di Settembre 2021 il CERT statunitense ha pubblicato uno specifico alert su questa minaccia a causa del numero sempre crescente di aziende statunitensi (soprattutto legati all'ambito sanitario) colpite tra il 2020 e i primi mesi del 2021. Qui si legge che Conti è diffuso principalmente tramite:

• campagne di spear phishing, con utilizzo frequente di allegati email dannosi inviati come risposta entro conversazioni precedentemente già avviate dalla vittima. La maggior parte di questi allegati sono comunissimi file Word che contengono, integrati al loro interno, script che molto spesso sono usati per la diffusione di malware ulteriori, soprattutto TrickBot, IceID e CobalStrike. Quest'ultimo è un tool di penetration testing molto spesso usato per semplificare spostamenti laterali entro le reti bersaglio e ampliare la superficie di attacco;
• attacchi sull'RDP (Remote Desktop Protocol) con l'uso di credenziali deboli o rubate;

Il Ransomware Conti colpisce la Maggioli: disservizi nei sistemi tributari e sanzionatori di centinaia di Comuni

Maggioli è un gruppo di rilevanza internazionale con sedi, oltre che in Italia, in Spagna, Grecia, Belgio e in Sud America: 25.000 installazioni software circa, un parco clienti di 150.000. La corporation offre servizi di vario tipo, molto usati nelle pubbliche amministrazioni, ma anche per aziende e professionisti. La notte del 25 Settembre, a partire dalle 3.00, i sistemi della Maggioli sono stati colpiti da attacco ransomware. L'azienda ha preso consapevolezza di aver subito un attacco soltanto 11 ore dopo l'accaduto, registrando numerosissime anomalie e disservizi sui sistemi.

Stando a quanto per ora è stato possibile ricostruire, l'attacco ransomware è stato portato dal gruppo del ransomware Conti, che però avrebbe mirato, pare, un'unità precisa del gruppo, ovvero la Maggioli Tributi. Tra i servizi sicuramente compromessi il "Concilia Service", usato dalle Polizie Municipali e non solo per le sanzioni amministrative conseguenti a violazione del Codice della Strada o altre norme amministrative e "MT tributi", molto usato nelle Ragionerie. 

Per approfondire > Ransomware Conti: è arrivato il successore di Ryuk?

L'azienda ha comunicato l'evento ai clienti il 30 Settembre, segnalando l'indisponibilità temporanea dei dati e indicando che "le informazioni ivi contenute, potrebbero comprendere anche dati personali quali, anagrafiche di contribuenti, domicili fisici e/o elettronici, istanze di contribuenti, situazioni debitorie/creditorie, dati catastali/possessi immobiliari, dati di veicoli, conti correnti e datori di lavoro".

La comunicazione ufficiale, completa e non parziale sull'incidente, risale al 1° Ottobre. "L'attacco

Server Microsoft Exchange sotto attacco: oltre a LockFile, anche il ransomware Conti sta usando ProxyShell

Qualche giorno fa abbiamo dato notizia di un nuovo ransomware, chiamato LockFile e già in diffusione in Italia, che utilizza la suite di vulnerabilità ProxyShell per bucare i server Microsoft Exchange. Ricordiamo che ProxyShell è un insieme di vulnerabilità che consente, se sfruttate con successo, di ottenere l'accesso non autenticato, quindi l'esecuzione di codice da remoto sui server vulnerabili. Per quanto già patchate da Microsoft, ulteriori dettagli tecnici su queste vulnerabilità sono state pubblicate recentemente, cosa che ha consentito agli attaccanti di usarle di nuovo in attacchi mirati. 

Le prime ondate di attacchi che hanno visto l'uso di ProxyShell distribuivano fondamentalmente webshell e backdoor, poi qualche giorno fa è stato individuato in diffusione anche il ransomware LockFile. Ora la fila si allunga, perché anche il ransomware Conti ha iniziato a sfruttare ProxyShell. 

Per approfondire > Ransomware Conti: è arrivato il successore di Ryuk?

La settimana nera dei ransomware: Darkside chiude i battenti mentre il ransomware Conti paralizza il sistema sanitario irlandese

 
Ransomware scatenati, ransomware ovunque, ransomware che alzano sempre più il tiro: le ultime due settimane sono state costellate di attacchi ransomware di peso. Forse troppo, a giudicare dalla vicenda di Darkside.

Darkside l'ha fatta troppo grossa: operazioni interrotte, infrastruttura down dopo operazione delle forze dell'ordine
Del ransomware Darkside abbiamo parlato qualche giorno fa, quando si è reso protagonista dell'attacco ad una delle più importanti infrastrutture degli Stati Uniti: parliamo dell'oleodotto Colonial Pipe. Il Colonial Pipeline trasporta i prodotti di raffinazione del petrolio per tutti gli Stati Uniti meridionali e orientali: la compagnia traporta circa 2.5 milioni di barili al giorno lungo 5.500 miglia di infrastrutture e fornisce circa il 45% di tutto il carburante usato nella East Coast. L'attacco ransomware lo ha paralizzato, costringendo il presidente Joe Biden a dichiarare lo stato di emergenza e attuare una serie di misure volte ad evitare la mancanza di carburante in una parte estesa del paese. L'azienda ha deciso subito di pagare il riscatto, ma il governo statunitense ha scatenato una vera e propria caccia all'uomo in cerca dei responsabili.

A rivelare notizie interessanti sul fatto è stato UNKN, uno dei portavoce della gang ransomware rivale di Darkside, ovvero Revil. UNKN ha fatto sapere che gli sviluppatori di Darkside hanno completamente perso l'accesso alla parte pubblica della loro infrastruttura: in dettaglio non possono più accedere al blog, ai server DOS, al server di pagamento a seguito di un attacco sferrato contro la loro infrastruttura dalle forze dell'ordine statunitensi. Agli operatori di Darkside non è rimasto altro da fare che sospendere le attività e interrompere il programma di affiliazione.

Attacco ransomware blocca il più grande oleodotto negli Stati Uniti: Biden dichiara lo stato di emergenza

I ransomware non fanno, ormai, più sconti a nessuno: se l'ondata verso le piccole e medie aziende non si è arrestata mai (e Ryuk continua a fare da protagonista), la scorsa settimana c'è stato un vero e proprio picco di attacchi contro laboratori e strutture sanitarie un pò in tutto il mondo. D'altronde, come dichiarato recentemente dagli appartenenti alla banda Revil, attualmente la più pericolosa famiglia ransomware in attività, gli ospedali sono bocconi prelibati perché deboli in termini di cyber sicurezza, ma con una necessità estrema di rientrare in possesso dei dati e riattivare i sistemi fosse anche solo per tutelare vite umane. 

Ha fatto però notizia sui media di tutto il mondo un attacco ransomware in particolare, i cui effetti hanno davvero messo in ginocchio gli States costringendo addirittura il Presidente Biden a dichiarare lo stato di emergenza: parliamo dell'attacco ransomware che ha colpito il Colonial Pipeline, il più grande oleodotto del paese.

Il Colonial Pipeline trasporta i prodotti di raffinazione del petrolio per tutti gli Stati Uniti meridionali e orientali: la compagnia traporta circa 2.5 milioni di barili al giorno lungo 5.500 miglia di infrastrutture e fornisce circa il 45% di tutto il carburante usato nella East Coast. 

Finisce un'era: il malware Emotet si auto elimina dai pc infetti in tutto il mondo. Le forze dell'ordine smantellano definitivamente la botnet

Emotet è (stata) una delle più pericolose botnet mai esistite, responsabile di campagne di spam di proporzioni epocali. Il malware Emotet è stato individuato per la prima volta nel 2014 ed aveva una sola definizione possibile: era un trojan bancario, specializzato nel furto di credenziali bancarie e dei dati delle carte di credito. E' poi, piano piano, evoluto in una botnet usata da uno specifico gruppo di attaccanti (TA542, anche detti Mummy Spider) per distribuire ulteriori payload malware di secondo stadio. Tra questi, Emotet ha distribuito sulle macchine delle proprie vittime i payload dei trojan QakBot e TrickBot (quest'ultimo, a sua volta, ha accordi di distribuzione con i gestori dei ransomware Ryuk e Conti).

Per dirla in breve, con le parole dell'Europol: "l'infrastruttura di Emotet agiva essenzialmente come apri porta principale sui sistemi informatici su scala globale. Una volta stabilito l'accesso non autorizzato, questo viene venduto ad altri gruppi di cyber attaccanti di alto livello per svolgere ulteriori attività illecite come il furto dati o l'estorsione ransomware".

Ora, finalmente, si può dire che il problema è risolto: l'infrastruttura è definitivamente smantellata perchè il malware, a partire da domenica, si sta auto cancellando da ogni dispositivo infetto, liberando i pc - bot e determinando il collasso della botnet stessa. Ciò è stato reso possibile da una operazione congiunta delle forze dell'ordine che, a Gennaio, sono riusciti a prendere il controllo del server di Emotet e a sabotare le operazioni malware. L'operazione condusse anche all'arresto, da parte della polizia ucraina, di 2 persone sospettate di aver gestito e mantenuto l'infrastruttura di Emotet  per anni e che, ad ora, rischiano 12 anni di carcere. 

"Questo malware si autodistruggerà in 3,2,1..."

Ransomware Ryuk: l'update delle tecniche di hacking lo rende la più grave cyber minaccia alle aziende

Nuovi recenti attacchi, tutti rigorosamente mirati e contro reti aziendali, hanno mostrato come gli operatori del ransomware Ryuk abbiano optato per nuove tecniche per ottenere l'accesso iniziale alla rete bersaglio. La tendenza mostrata in queste settimane è chiara: Ryuk predilige host con connessioni desktop remote esposte in Internet. 

Sono stati i ricercatori di AdvancedIntelligence, che da oltre un anno osservano gli attacchi di Ryuk, ad individuare un trend molto chiaro: la maggior parte degli attacchi di quest'anno ha visto come bersaglio le connessioni RDP esposte. L'attacco è piuttosto banale: gli attaccanti eseguono attacchi di brute force su larga scala contro host con RDP esposte. 

Ciò non significa, va detto, che il gruppo di Ryuk non usi più attacchi di phishing o spear phishing, ma sono tecniche, queste, che mano a mano sono divenute meno frequenti. In passato Ryuk ha anche usato la campagna BazaCall per distribuire il malware: il malware era distribuito tramite call center dannosi che, prendendo di mira utenti aziendali, indirizzavano loro documenti Excel compromessi coi quali avviare la catena d'infezione. 

I nuovi trend di Ryuk

Quanto costa un attacco ransomware? Ryuk colpisce l'Universal Health Services e determina una perdita di 67 milioni di dollari

L'azienda sanitaria e fornitrice di servizi ospedalieri Universal Health Services (UHS) ha annunciato di aver subito un attacco da parte del ransomware Ryuk nel Settembre 2020. A distanza di qualche mese UHS ha stimato che l'impatto di questo cyber incidente è stato di circa 67 milioni di dollari USA. 

UHS non è proprio un "ospedale di provincia": Fortune lo annovera tra i primi 500 fornitori di servizi sanitari al mondo, con 90.000 dipendenti e un flusso di pazienti annuale che si aggira attorno ai 3.5 milioni: 400 sono le strutture sanitarie distribuite tra Stati Uniti e Regno Unito. 

"[Ryuk] ha avuto un impatto complessivo di circa 67 milioni di dollari durante l'anno terminato il 31 Dicembre 2020" dichiarano da UHS. "i Servizi più impattati sono stati quelli di assistenza. La perdita è consistita principalmente nella diminuzione del profitto derivante dell'attività dei pazienti, nonchè nell'aumento delle riserve di entrata registrate in relazione ai ritardi di fatturazione associati. Sono state anche incluse nel conto alcune spese di manodopera, onorari professionali e altre spese operative sostenute in conseguenza diretta dell'incidente e dell'interruzione delle operazioni" si legge nel comunicato ufficiale. "Inoltre abbiamo sostenuto  costi di manodopera incrementali, sia interni che esterni, per ripristinare le operazioni IT il prima possibile", conclude la nota. 

Un mese per ripristinare i sistemi

Nel darkweb è boom di vendite di accessi abusivi alle reti hackerate

Il report che la società di sicurezza KELA ha pubblicato qualche giorno fa accende i riflettori su un fenomeno che spesso resta in secondo piano: la rivendita di accessi alle reti violate sembra essere argomento sottovalutato rispetto alla vendita nel dark web di dati personali a fini di furto d'identità o di coppie di credenziali. 

Rivendere gli accessi: il mercato delle reti violate
Il report parla di una organizzazione capillare, molto strutturata al punto da configurare, praticamente, una filiera: è la riconferma del fatto che il cybercrime si fa sempre più "professionale" e sempre meglio organizzato. La rappresentazione plastica di questo fenomeno, oltre alla nascita dei RaaS (Ransomware as a service) e dei MaaS (malware as a service) e la strutturazione sempre più avanzata del mercato di compravendita di accessi. Ora si può definitivamente parlare di un vero  e proprio mercato in cui si vendono accessi alle reti. 

Lo schema è questo: un gruppo di attaccanti riesce a violare, in qualche maniera, una rete. L'idea comune è che, ottenuto un accesso, l'attaccante prosegua nel suo intento portando attacchi più profondi e pesanti al fine di poter guadagnare monetizzando l'attività. La novità è che sempre più spesso gli attaccanti si fermano all'ottenimento dell'accesso alla rete e poi monetizzano direttamente quello, rivendendolo ad altri "colleghi". Si profila quindi una filiera in cui alcuni cyber attaccanti si specializzano in violazione delle reti, mentre altri si specializzano in diffusione malware, furto dati e criptazione. 

Attacchi ransomware in crescita: tornano anche quelli che distruggono i dati. Ma si riduce l'entità dei riscatti

Nonostante lo scenario fosco, vogliamo aprire con una buona notizia: si registrano sempre più persone / soggetti che decidono di resistere agli estorsori e rifiutare il pagamento del riscatto una volta subita l'infezione ransomware, talvolta grazie alla presenza del backup talvolta per mero coraggio, anche e nonostante le minacce dei cyber attaccanti di pubblicare i dati rubati prima della criptazione dei dati. Il numero di vittime coraggiose è stato così importante da aver fatto registrare, nell'ultimo trimestre del 2020, un calo significativo della media dei pagamenti di riscatto rispetto al trimestre precedente. 

Ma si sta presentando un fenomeno ancora più insidioso e pericoloso, ovvero quello di procedere alla distruzione dei file durante l'attacco, senza lasciare alle aziende alcuna possibilità di recuperarli anche pagando il riscatto. 

Attacchi ransomware "data wiping"
L'ultimo trimestre del 2020, stando ai dati di Coveware (un'azienda che si occupa di sicurezza informatica e offre anche servizi di vera e propria contrattazione coi gruppi ransomware in corso di estorsione), ha mostrato un chiaro e costante aumento di segnalazioni su interi cluster di server e dati condivisi spazzati via, letteralmente, da attacchi ransomware. 

Ora, come si sa, solitamente i ransomware mirano target specifici, soprattutto sistemi di backup, e tentano la criptazione su macchine di alto valore. In questi casi però gli attaccanti hanno lasciato dietro di sé terra bruciata, cancellando tutto: senza nulla da recuperare le vittime che hanno subito un data wiping di questo tipo hanno dovuto ricostruire da zero i propri sistemi. Certo, questo sistema deve necessariamente basarsi, per gli attaccanti, sull'esistenza di copie dei file disponibili in forma criptata, altrimenti le vittime non avrebbero alcune motivo per richiedere il tool di decriptazione pagando il riscatto. Va comunque detto che non tutte le cancellazioni di dati sono state volute: molti sono anche gli eventi ransomware che portano ad una accidentale distruzione dei dati, conseguente poi per alcune vittime in un prolungato stop delle attività. 

La botnet di Emotet abbattuta da una operazione congiunta di forze dell'ordine

L'infrastruttura della famigerata botnet Emotet è stata di nuovo bersaglio di un attacco coordinato da Europol e Eurojust, culminata nel down dell'infrastruttura stessa. L'operazione di attacco ha consentito ad una commissione di forze dell'ordine e authority inglese, statunitense, francese, lituana, ucraina, canadese e olandese di prendere il controllo dei server e interrompere le operazioni malware. 

L'operazione ha avuto luogo dopo un ampio sforzo investigativo globale, col supporto di alcune autorità giudiziarie: l'infrastruttura è stata abbattuta dall'interno una volta ottenuti i controllo di amministrazione dei server all'inizio di questa settimana. 

"L'infrastruttura utilizzata da Emotet comprendeva centinaia di server dislocati in tutto il mondo, tutti dotati di funzionalità per gestire i computer infetti delle vittime e organizzare infezioni ulteriori, per supportare altri gruppo criminali e, infine, per rendere la rete più resiliente ai tentativi di takedown" ha dichiarato l'Europol. 

"Le macchine infette delle vittime  sono adesso reindirizzate verso questa infrastruttura controllata dalle forze dell'ordine. Si tratta di un nuovo e unico approccio per riuscire a interrompere efficacemente le attività di coloro che vivono e facilitano la criminalità informatica". 

TrickBot risorge dalle ceneri e torna attivo con una nuova versione: è capace di eludere l'individuazione delle soluzioni di sicurezza

100. La nuova versione di TrickBot individuata in diffusione qualche giorno fa segna un "bel" traguardo per la cybergang dietro questo malware: è la 100° versione, rivista e migliorata soprattutto per quanto riguarda le funzionalità di evasione delle individuazioni. 

TrickBot in breve
TrickBot è un malware che viene comunemente diffuso tramite email di phishing o altri malware. Una volta installato, si esegue in background sul computer della vittima e inizia, silenziosamente, a scaricare alcuni moduli per eseguire differenti compiti: è quello che viene definito, in gergo tecnico, un malware modulare, dove ogni modulo è responsabile dell'esecuzione di una specifica funzione dannosa. Tra le attività eseguite da questi modulo ne troviamo alcune per il furto delle credenziali delle Active Directory, per la diffusione laterale nella rete, per lo screenlocking, per il furto dei cookie e delle credenziali salvate nelle password, per rubare le chiavi OpenSSH. 

Scopo principale è comunque quello di raccogliere i dati sulle macchine infette e continuare a diffondersi il più possibile nella stessa rete, per poi rivendere l'accesso ottenuto ad altri cybercriminali per la distribuzione dei ransomware Ryuk e Conti. 

Le (pessime) novità

Emotet e Trickbot hanno un nuovo concorrente: anche il malware Buer debutta come distributore di ransomware

Analizzando alcune recentissime campagne di attacco del ransomware Ryuk, alcuni ricercatori di sicurezza hanno individuato in diffusione il malware Buer: Buer, conosciuto già dall'Agosto 2019, è in affitto nel dark web come malware-as-a-service, in dettaglio con la funzionalità di downloader. Nel dark web è conosciuto come Modular Buer Loader. 

Scopo principale è quello di fornire un primo punto di accesso ad una macchina target a successivi attaccanti, compromettendo sistemi Windows dei quali rivendono gli accessi ad altri gruppi di cyber attaccanti. E' esattamente quanto sta già avvenendo con TrickBot e Emotet i quali, oltre a rubare credenziali e dati sensibili, installano sulle macchine infette delle backdoor che poi vengono rivendute ad altri attaccanti, soprattutto gang ransomware: gli attaccanti ransomware quindi non devono occuparsi di cercare un punto di accesso ad una macchina violandone la sicurezza, ma sfruttano accessi già presenti.

La novità recente riguardo a Buer è che se fino a poco tempo fa era usato solo per distribuire malware bancari, oggi è usato anch'esso negli attacchi ransomware: il numero dei malware che collaborano con i ransomware quindi cresce e possiamo definitivamente parlare della triade Emotet, TrickBot e Buer. 

Qualche dettaglio tecnico

Una buona notizia: il ransomware Maze cessa le operazioni

I ransomware sono più numerosi e sempre più complessi, nel funzionamento dell'attacco e nella gestione dell'estorsione ma, ogni tanto, ci sono anche buone notizie e quella di oggi è davvero una Buona Notizia: il temibile ransomware Maze, capofila delle nuove tecniche di estorsione a doppio riscatto (uno per la chiave di decriptazione e uno per non vedere pubblicati online i dati rubati) sta sospendendo le operazioni di attacco. 

Maze ha rivoluzionato il mondo dei ransomware
E' significativo che Maze stia sospendendo le operazioni non solo per il livello raggiunto (in termini di importanza delle vittime e di ammontare dei riscatti), ma anche perchè Maze ha apportato modifiche così sostanziali alla metodologia di attacco ransomware da averla, nei fatti rivoluzionata. Ad esempio, prima del debutto di Maze sulla scena del cybercrime  nessun gruppo di cybercriminali aveva mai concesso interviste e risposto alle domande poste dai ricercatori di sicurezza e dei giornalisti: tutto è cambiato nel Novembre 2019, quando i gestori di Maze hanno deciso di contattare le redazioni di una serie di riviste online specializzate in cybersecurity, BleepingComputer su tutte, per diffondere la notizia che, per la prima volta, il loro attacco alla Allied Universal non aveva solo comportato la criptazione dei dati, ma anche il loro furto. Per la prima volta cioè, un gruppo di attaccanti ha spiegato alla stampa il proprio attacco, mettendone anche a conoscenza il mondo. In quel caso, da Maze spiegavano che la scelta di contattare le redazioni e informare dell'attacco dipendeva dalla volontà di aumentare la pressione estorsiva contro un'azienda che si stava rifiutando di partecipare alle trattative e pagare il riscatto.

Data leak e data breach: i dieci giorni dell'orrore

Notizie di data leak e data breach si susseguono ormai senza sosta: che dipenda da un attacco informatico, da dipendenti infedeli, da cattive configurazioni poco importa, la scorsa settimana si è registrato un numero impressionate di violazioni e furto di dati. Nell'impossibilità di raccontare tutti gli eventi, ci concentriamo su alcuni in particolare, importanti dal punto di vista della quantità di dati violati e per le modalità di violazione.

- Il data breach di Nitro PDF
Nitro PDF è un sistema molto usato dalle aziende per creare, modificare e firmare digitalmente PDF e altri tipi di documenti digitali: dichiara più di 10.000 clienti aziendali e 1.8 milioni di utenti su licenza. E' utilizzato da aziende del calibro di Microsoft, Apple, Google ma anche da centinaia di aziende italiane ed europee. 

Il 21 Ottobre, Nitro Software ha inviato un alert all'Australia Stock Echange per notificare un "incidente di sicurezza a basso impatto": nell'alert si specificava che nessuno dei dati dei clienti era stato violato. La realtà non è affatto questa, purtroppo: l'azienda di cybersicurezza Cyble ha fatto sapere di aver rintracciato, in vendita nel dark web, i dati dei clienti e più database di documenti, per un totale circa di 1TB di documenti rubati. Tutti i dati sono stati sottratti dal servizio in cloud che Nitro Software offre ai clienti di Nitro PDF. L'intero pacchetto è in vendita all'asta con una base d'asta iniziale di 80.000 dollari. 

Microsoft assedia e sconfigge TrickBot: 'è un rischio per le elezioni USA'

Non è la prima volta che Microsoft decide di passare all'azione per combattere il cybercrime in prima persona, attaccando direttamente i cyber attaccanti. Nel Marzo di quest'anno Microsoft ha preso il controllo della botnet Necurs, responsabile dell'invio di 3.8 milioni di messaggi di spam contro oltre 46 milioni di target in appena 50 giorni di analisi. Nei primi giorni di Luglio di quest'anno, invece, Microsoft ha annunciato con un dettagliato report di aver effettuato e concluso una vasta campagna di attacco per prendere il controllo e mettere offline una serie di domini usati in quel periodo per lanciare massivi attacchi di phishing, la maggior parte dei quali a tema Covid. 

Da pochi giorni si è conclusa un'altra operazione simile, avente come obiettivo principale quello di smantellare la botnet TrickBot e l'intera infrastruttura dedicata alla sua gestione. 

Per iniziare: TrickBot in breve
Abbiamo parlato spesso di TrickBot, sopratutto da quando, a partire dallo scorso anno ha iniziato a fare "coppia fissa" col ranomsware Ryuk e ad essere diffuso piuttosto regolarmente anche in Europa (italia compresa). TrickBot è stato individuato nel Settembre del 2016: le prime analisi lo definirono immediatamente come erede di Dyre, un trojan bancario oggi quasi completamente dismesso. Il legame tra questi due trojan risultò evidente per la similarità di codice e funzioni, ma anche a partire dal loader, denominato TrickLoader in entrambi i casi.  

Gli allegati email più usati per infettare Windows

L'esperto di cyber sicurezza Lawrance Abrams ha pubblicato una breve guida sugli allegati email che sono comunemente usati per colpire il sistema operativo Windows: ormai, spiega nel testo, è necessario che tutti abbiano la capacità di riconoscere almeno i più comuni schemi di attacco di phishing via email e gli allegati dannosi più usati. Come abbiamo infatti scritto spesso, gli antivirus e le soluzioni di sicurezza non sono bastanti a sé stesse: l'anello debole della catena della sicurezza informatica resta infatti l'utente, che può essere convinto con l'inganno ad eseguire una macro o collegarsi ad un dominio compromesso, scavalcando anche gli alert che le soluzioni di cybersecurity possono mostrare. Insomma la consapevolezza dell'utente è e rimane una componente essenziale della cybersecurity. 

La catena di attacco
Pur differendo nei temi, questa tipologia di attacco si ripete con uno schema comune e consolidato: che si parli di fatture, invii, ritardi nei pagamenti, informazioni di spedizione, verifiche amministrative, protocolli sanitari anti Covid, verifica account poco conta. L'email di phishing classica ha un oggetto e testo finalizzati solo a convincere l'utente al download e all'apertura di un allegato compromesso, molto spesso in formato Word o Excel, oppure al clic su un link che consente il download degli stessi allegati dannosi. Se l'utente attiva la macro contenuta, si avvia l'infezione.

Prima di eseguire una macro in Word o Excel, Office chiede conferma all'utente, invitandolo a cliccare su "Modifica contenuti" o "Abilita macro",  con uno specifico alert di sicurezza

Questo passaggio di sicurezza, creato appositamente per allertare l'utente, è un ostacolo per gli attaccanti: questo è il motivo per il quale molti di questi documenti mostrano testo o immagini che indicano un problema di visualizzazione. Per risolvere questo fantomatico problema di visualizzazione, l'utente dovrebbe approvare la macro: una tecnica truffaldina che però ha grande successo.