Microsoft vs TrickBot: fallito il tentativo di takedown. Il successo è sul fronte legale

Qualche giorno fa abbiamo dato notizia dell'attacco che Microsoft, a capo di una coalizione di ISP, esperti di cyber sicurezza e CERT nazionali, ha portato contro la famigerata botnet TrickBot. Ritenuta una minaccia aperta per le venture elezioni negli Stati Uniti, TrickBot e la sua intera infrastruttura sono stati oggetto di studio da parte di Microsoft che, una volta presentati i dati, ha ottenuto dal United States District Court for the Eastern District of Virginia l'autorizzazione necessaria per passare al contrattacco e smantellare la botnet. 

Dalle prime dichiarazioni di Microsoft il risultato sembrava essere stato pienamente raggiunto, ma analisi successive e dati telemetrici hanno indicato come la botnet sia sopravvissuta al tentativo di takedown. 

I server di comando e controllo di Trickbot e tutti i domini che sono stati messi offline la scorsa settimana sono già stati sostituiti: in pochissime ore cioè l'intera infrastruttura di Trickbot è stata sostituita. Aziende e ricercatori di sicurezza che monitorano da tempo l'attività di Trickbot hanno dichiarato che gli effetti del takedown sono stati "temporanei e limitati": molti però gli elogi per Microsoft e partner, per lo sforzo e il tentativo indipendentemente dai risultati effettivi.

Alcune fonti interne alla coalizione che ha messo sotto attacco la botnet hanno spiegato che fin dall'inizio era esclusa la possibilità di ottenere lo shut down totale della infrastruttura: la cosa sarebbe provata anche dal fatto che la campagna anti TrickBot già prevede dei passaggi da ripetere, come la messa in down dei nuovi domini. Insomma, gli esperti della coalizione si aspettavano già una pronta risposta da parte degli attori dietro a TrickBot, al punto da aver già previsto alcune mosse da giocare non appena gli attaccanti avessero rimesso online l'intera infrastruttura. Sono centrali, da questo punto di vista, le parole di Tom Burt di Microsoft: "come abbiamo già visto nel corso di precedenti operazioni, i risultati di uno shut down globale che coinvolge più partner si manifestano in più fasi. Abbiamo già previsto che gli operatori di TrickBot tenteranno di riavviare le proprie operazioni. Se necessario quindi adotteremo ulteriori misure tecniche e legali per fermali".

Cosa "gira" in Italia? Malware e campagne di attacco individuate dal CERT la scorsa settimana

Quali malware girano nel panorama italiano? Quali campagne di attacco? Quali sono i malware che un team di sicurezza IT dovrebbe tenere d'occhio per aggiornare gli indici di compromissione dei sistemi di sicurezza così che possano bloccare un'infezione alla fonte? 

A queste domande risponde settimanalmente il CERT-AgID con un apposito report che rende una fotografia delle cyber minacce individuate e analizzate dal team di esperti del Computer Emergency Response Team italiano. 

I malware della settimana 09/10
La scorsa settimana il CERT-AgID ha individuato e analizzato 33 campagne dannose attive nello scenario italiano e rivolte contro utenti italiani: 224 sono gli indicatori di compromissione (IoC) messi a disposizione. 

Ursnif è stato il malware più individuato, distribuito con ben 4 diverse e massive campagne di email di spam: tra queste, due erano a tema INPS mentre due imitavano comunicazioni del corriere Bartolini. Gli allegati usati in tutte le quattro campagne erano in formato XLS e XLSm. Nell'analisi di queste campagne, gli esperti del CERT si sono imbattuti in alcune interessanti peculiarità. 

Microsoft assedia e sconfigge TrickBot: 'è un rischio per le elezioni USA'

Non è la prima volta che Microsoft decide di passare all'azione per combattere il cybercrime in prima persona, attaccando direttamente i cyber attaccanti. Nel Marzo di quest'anno Microsoft ha preso il controllo della botnet Necurs, responsabile dell'invio di 3.8 milioni di messaggi di spam contro oltre 46 milioni di target in appena 50 giorni di analisi. Nei primi giorni di Luglio di quest'anno, invece, Microsoft ha annunciato con un dettagliato report di aver effettuato e concluso una vasta campagna di attacco per prendere il controllo e mettere offline una serie di domini usati in quel periodo per lanciare massivi attacchi di phishing, la maggior parte dei quali a tema Covid. 

Da pochi giorni si è conclusa un'altra operazione simile, avente come obiettivo principale quello di smantellare la botnet TrickBot e l'intera infrastruttura dedicata alla sua gestione. 

Per iniziare: TrickBot in breve
Abbiamo parlato spesso di TrickBot, sopratutto da quando, a partire dallo scorso anno ha iniziato a fare "coppia fissa" col ranomsware Ryuk e ad essere diffuso piuttosto regolarmente anche in Europa (italia compresa). TrickBot è stato individuato nel Settembre del 2016: le prime analisi lo definirono immediatamente come erede di Dyre, un trojan bancario oggi quasi completamente dismesso. Il legame tra questi due trojan risultò evidente per la similarità di codice e funzioni, ma anche a partire dal loader, denominato TrickLoader in entrambi i casi.  

Nuovo ransomware colpisce i Nas QNAP anche in Italia: arriva Solve

Per ora non ci sono molte informazioni: questo ransomware è stato segnalato direttamente da utenti vittime meno di un mese fa. E' però utile segnalarlo, perchè stiamo ricevendo richieste di assistenza al nostro servizio di decriptazione https://www.decryptolocker.it da parte di utenti italiani. 

Il ransomware è stato ribattezzato Solve prendendo spunto dalla nota di riscatto che lascia nelle cartelle contenenti i file criptati, ovvero "SOLVE ENCRYPTED FILES.txt". Dalle segnalazioni per ora ricevute mira principalmente i NAS: la quasi totalità delle vittime, ad ora, hanno subito l'infezione su NAS QNAP. 

Qualche dettaglio tecnico
Il ransomware Solve cripta i dati degli utenti con l'algoritmo AES256, mentre la chiave è protetta da algoritmo RSA. Richiede in riscatto circa 400 dollari in Bitcoin: un riscatto molto basso rispetto a quelli a cui siamo attualmente abituati e il fatto dipende dall'evidenza che questo ransomware non è pensato per attacchi mirati contro grandi aziende, ma contro utenti home e piccoli uffici o aziende. E' scritto in linguaggio GO ed sembra ottimizzato per sistemi Linux. 

L'estensione che Solve aggiunge al nome dei file criptati è .encrypted

Gli allegati email più usati per infettare Windows

L'esperto di cyber sicurezza Lawrance Abrams ha pubblicato una breve guida sugli allegati email che sono comunemente usati per colpire il sistema operativo Windows: ormai, spiega nel testo, è necessario che tutti abbiano la capacità di riconoscere almeno i più comuni schemi di attacco di phishing via email e gli allegati dannosi più usati. Come abbiamo infatti scritto spesso, gli antivirus e le soluzioni di sicurezza non sono bastanti a sé stesse: l'anello debole della catena della sicurezza informatica resta infatti l'utente, che può essere convinto con l'inganno ad eseguire una macro o collegarsi ad un dominio compromesso, scavalcando anche gli alert che le soluzioni di cybersecurity possono mostrare. Insomma la consapevolezza dell'utente è e rimane una componente essenziale della cybersecurity. 

La catena di attacco
Pur differendo nei temi, questa tipologia di attacco si ripete con uno schema comune e consolidato: che si parli di fatture, invii, ritardi nei pagamenti, informazioni di spedizione, verifiche amministrative, protocolli sanitari anti Covid, verifica account poco conta. L'email di phishing classica ha un oggetto e testo finalizzati solo a convincere l'utente al download e all'apertura di un allegato compromesso, molto spesso in formato Word o Excel, oppure al clic su un link che consente il download degli stessi allegati dannosi. Se l'utente attiva la macro contenuta, si avvia l'infezione.

Prima di eseguire una macro in Word o Excel, Office chiede conferma all'utente, invitandolo a cliccare su "Modifica contenuti" o "Abilita macro",  con uno specifico alert di sicurezza

Questo passaggio di sicurezza, creato appositamente per allertare l'utente, è un ostacolo per gli attaccanti: questo è il motivo per il quale molti di questi documenti mostrano testo o immagini che indicano un problema di visualizzazione. Per risolvere questo fantomatico problema di visualizzazione, l'utente dovrebbe approvare la macro: una tecnica truffaldina che però ha grande successo.