Red Hot Cyber, il blog italiano sulla sicurezza informatica
Red Hot Cyber
La cybersecurity è condivisione. Riconosci il rischio, combattilo, condividi le tue esperienze ed incentiva gli altri a fare meglio di te.
Select language
English Spanish
Cerca

Come è andato il cyber attacco al MITE. Scopriamo i dettagli.

Redazione RHC : 9 Aprile 2022 15:17

Finalmente il Ministero della transizione ecologia ha ammesso l’attacco informatico, e sembra si tratti di un malware precursore, inoculato all’interno dell’organizzazione settimane prima attraverso (probabilmente) una campagna di malspam.

Infatti, in precedenza sono state rilevate delle mail di phishing ai danni del MITE già da Marzo, che aveva come obiettivo inoculare all’interno della rete un malware precursore.

Si potrebbe trattare di Ursnif, Emotet, Phorpiex, SmokeLoader, Dridex o TrickBot, che fanno parte di questa categoria di malware, ovvero dei malware che permettono ai criminali informatici di avere un accesso alla rete e quindi generare persistenza, spesso veicolati da campagne di malspam.


PARTE LA PROMO ESTATE -40%

RedHotCyber Academy lancia una promozione esclusiva e a tempo limitato per chi vuole investire nella propria crescita professionale nel mondo della tecnologia e della cybersecurity!

Approfitta del 40% di sconto sull’acquisto congiunto di 3 corsi da te scelti dalla nostra Academy. Ad esempio potresti fare un percorso formativo includendo Cyber Threat intelligence + NIS2 + Criptovalute con lo sconto del 40%. Tutto questo lo potrai fruire, dove e quando vuoi e con la massima flessibilità, grazie a lezioni di massimo 30 minuti ciascuna.

Contattaci tramite WhatsApp al 375 593 1011 per richiedere ulteriori informazioni oppure scriviti alla casella di posta [email protected]



Supporta RHC attraverso:


Ti piacciono gli articoli di Red Hot Cyber? Non aspettare oltre, iscriviti alla newsletter settimanale per non perdere nessun articolo.


Successivamente tali accessi possono essere venduti sulle darknet ad affiliati ransomware, che utilizzano tale persistenza per sfruttarla ed esfiltrare dati e poi successivamente lanciare i payload ransomware.

Se volete approfondire il tema del RaaS, della piramide e la differenza tra “affiliati” e “broker di accesso”, vi rimandiamo ai seguenti articoli.

 Approfondisci il ransomware con gli articoli di RedHotCyber

Detto questo è confermata l’ipotesi iniziale fatta da RHC nella giornata di ieri, ovvero non si è trattato di un incidente ransomware, ma solo di una fase iniziale, ovvero una infezione da malware precursore.

Sembra infatti che i criminali informatici abbiano utilizzato dei beacon Cobalt Strike per avere persistenza all’interno dell’azienda, infatti sono state rilevate diffuse tracce di Cobalt strike all’interno delle infrastrutture IT capaci di generare backdoor di accesso remoto.

Questo attacco, per fare “Lesson learned” ci porta all’attenzione, che un attacco ransomware è l’epilogo di un attacco informatico che inizia settimane se non mesi prima.

Quindi alzate le barricate e non fatevi trovare impreparati, perché dei margini di vantaggio si hanno sempre.

In questo articolo andremo ad analizzare il concetto di “malware precursore”, cosa sono i “beacon cobalt strike” e alla fine, andremo ad analizzare un potenziale candidato all’infezione, il malware Ursnif.

I complimenti di RHC vanno al SOC dell’azienda, che è riuscito in tempo a fermare l’infezione, anche se i lavori sono in corso per evitare che tale malware non si diffonda in rete ed infetti ulteriori server e che possano comunicare con i server di Command & Control (C2) degli attaccanti.

Cos’è un malware precursore

Il ransomware è una delle maggiori minacce alla sicurezza per le aziende, ma non viene fuori dal nulla.

Secondo gli specialisti di sicurezza di Lumu Technologies, l’infezione delle reti aziendali con ransomware è preceduta dalla comparsa in esse del cosiddetto “malware precursore”. Di solito si tratta di codice dannoso utilizzato per pre-raccogliere tutte le informazioni necessarie prima di avviare l’infezione.

In teoria, rilevando e neutralizzando questo codice dannoso, le aziende possono proteggersi da un successivo attacco ransomware.

Tipica catena di ransomware
Infografica fonte Lumu Technologies

Gli attori delle minacce utilizzano una varietà di mezzi per distribuire i loro pacchetti di “malware precursori”. Alcune tattiche includono:

  • E-mail di phishing
  • Collegamenti nei documenti
  • File batch
  • Programmi eseguibili
  • Mercati di accesso iniziale 

Una volta all’interno di una rete aziendale, gli operatori del malware tenteranno di esplorare le risorse all’interno della rete. Mapperanno la rete e cercheranno dati sensibili, credenziali che conferiranno più privilegi e accesso all’infrastruttura critica.

Esempio di catena che sfrutta TrikBot. Fonte Lumu Technologies

Esiste una varietà di strumenti che aiutano le bande di ransomware a spostarsi lateralmente. Alcuni di essi, come Cobalt Strike, sono stati progettati per test di sicurezza. Gli attori delle minacce effettuano anche scansioni di rete al fine di identificare le porte aperte e altre vulnerabilità di rete.

Se un’azienda rileva che le sue reti stanno comunicando con quelli che sembrano server C&C malware Emotet, Phorpiex, SmokeLoader, Dridex o TrickBot, dovrebbe disattivare immediatamente questa connessione, in quanto potrebbe divenire vittima di un attacco ransomware.

In oltre 2.000 aziende monitorate da Lumu, ogni attacco ransomware è preceduto da un’altra infezione da malware.

Il malware precursore utilizza il movimento laterale per spostarsi ulteriormente attraverso la rete e i dispositivi, aprendo l’accesso a futuri ransomware.

Cos’è Cobalt Strike

Cobalt Strike è un software commerciale di adversary simulation che viene commercializzato per i red team, ovvero quegli hacker etici che effettuano simulazioni impersonando un hacker criminale, per analizzare le infrastrutture e renderle resilienti agli attacchi informatici.

Ma questo tool, funziona talmente bene che viene utilizzato anche attivamente da un’ampia gamma di attori delle minacce, dagli operatori di ransomware agli Advanced Persistent Threats (APT). Molti difensori della rete hanno visto i payload di Cobalt Strike utilizzati nelle intrusioni, ma per coloro che non hanno avuto l’opportunità di utilizzare Cobalt Strike, può essere difficile comprendere i numerosi componenti e funzionalità inclusi in questo potente framework di attacco.

Cobalt Strike di fatto è l’applicazione di comando e controllo(C2), ovvero l’infrastruttura server che controllano i criminali che parla con i malware all’interno delle organizzazioni. Questo infatti ha due componenti principali: il server e il client. 

Questi sono entrambi contenuti nello stesso eseguibile Java (file JAR) e l’unica differenza è quali argomenti usa un operatore per eseguirlo. 

  • Il server è la parte command & control (C2) di Cobalt Strike. Può accettare connessioni client, callback BEACON e richieste Web generali.
    • Per impostazione predefinita, accetta connessioni client sulla porta TCP 50050. 
    • Il server supporta solo l’esecuzione su sistemi Linux. 
  • Il client è invece quel programma con cui gli operatori del red team (o i criminali informatici), si connettono al server.
    • I client possono essere eseguiti sullo stesso sistema server o connettersi in remoto. 
    • Il client può essere eseguito su sistemi Windows, macOS o Linux. 

BEACON, è il nome del payload del malware predefinito di Cobalt Strike utilizzato per creare una connessione al server. Le sessioni di callback attive da una destinazione sono anche chiamate “beacon”. È qui che la famiglia di malware ha preso il nome ed infatti esistono due tipi di BEACON:

  • Lo Stager  è un carico utile BEACON opzionale. Gli operatori possono “mettere in scena” il loro malware inviando un piccolo payload di codice shell BEACON che esegue solo alcuni controlli di base e quindi interroga il C2 configurato per la backdoor completa.
  • La backdoor completa  può essere eseguita tramite uno stager BEACON, da una famiglia di malware “loader” o eseguendo direttamente l’esportazione della DLL predefinita “ReflectiveLoader“. Questa backdoor viene eseguita in memoria e può stabilire una connessione al server attraverso diversi metodi.

I payload quindi, come ad esempio un ransomware, non sono i BEACON. BEACON è la backdoor stessa e viene in genere eseguita con qualche altro loader, che si tratti della backdoor a fasi o completa. 

Cobalt Strike viene fornito con loader predefiniti, ma gli operatori possono anche crearne di propri utilizzando PowerShell, .NET, C++, GoLang o qualsiasi cosa in grado di eseguire shellcode. 

Il malware Ursnif

Non è ancora certo che si tratti di una infezione da malware Ursnif, noto anche come Gozi, ovvero uno dei Trojan bancari più diffusi.

Rimanendo nelle ipotesi, il codice sorgente del malware Ursnif è trapelato online nel 2015 e reso pubblicamente disponibile in Github, il che ha consentito ad altri autori di malware di aggiungere nuove funzionalità e sviluppare ulteriormente il codice da parte di diversi attori delle minacce. 

Comportamento

  • Ruba dati del computer, nome del computer, locale del sistema, versione del sistema operativo (OS) e processi in esecuzione  
  • Ruba credenziali utente, informazioni finanziarie e bancarie
  • In grado di comunicare con il server C&C per scaricare componenti malware aggiuntivi
  • Esegue comandi backdoor da un utente malintenzionato remoto per connettersi a siti Web dannosi per l’invio e la ricezione di informazioni

Capacità

  • Furto di informazioni

Redazione
La redazione di Red Hot Cyber è composta da un insieme di persone fisiche e fonti anonime che collaborano attivamente fornendo informazioni in anteprima e news sulla sicurezza informatica e sull'informatica in generale.

Lista degli articoli

Articoli in evidenza

Linux Pwned! Privilege Escalation su SUDO in 5 secondi. HackerHood testa l’exploit CVE-2025-32463

Nella giornata di ieri, Red Hot Cyber ha pubblicato un approfondimento su una grave vulnerabilità scoperta in SUDO (CVE-2025-32463), che consente l’escalation dei privilegi a root in ambie...

Hackers nordcoreani a libro paga. Come le aziende hanno pagato stipendi a specialisti IT nordcoreani

Il Dipartimento di Giustizia degli Stati Uniti ha annunciato la scoperta di un sistema su larga scala in cui falsi specialisti IT provenienti dalla RPDC i quali ottenevano lavoro presso aziende americ...

Mi Ami, Non mi Ami? A scusa, sei un Chatbot!

Le persone tendono a essere più comprensive nei confronti dei chatbot se li considerano interlocutori reali. Questa è la conclusione a cui sono giunti gli scienziati dell’Universit&#x...

Sicurezza Reti Wi-Fi: La Sfida e le Soluzioni Adattive per l’Era Digitale

La Sfida della Sicurezza nelle Reti Wi-Fi e una Soluzione Adattiva. Nell’era della connettività pervasiva, lo standard IEEE 802.11(meglio noto come Wi-Fi ), è diventato la spina dorsa...

Cyberattack in Norvegia: apertura forzata della diga evidenzia la vulnerabilità dei sistemi OT/SCADA

Nel mese di aprile 2025, una valvola idraulica di una diga norvegese è stata forzatamente aperta da remoto per diverse ore, a seguito di un attacco informatico mirato. L’episodio, riportat...

Categorie
Segui i corsi di ethical hacking di CyberSecurityUP
Banner
Redhotcyber è un progetto di open-news nato nel 2019 e successivamente ampliato in una rete di persone che collaborano alla divulgazione di informazioni e temi incentrati la tecnologia, l'Information Technology e la sicurezza informatica, con lo scopo di accrescere i concetti di consapevolezza del rischio ad un numero sempre più crescente di persone.

PRINCIPALI CATEGORIE
Attacchi Informatici Italiani
Dark Web & Cybercrime
0day, bug e Vulnerabilità
Hacking
Cybersecurity Italia
Cyberpolitica & Intelligence

RISORSE
Academy
Rubriche
Il manifesto di Red Hot Cyber
Feed RSS
Contatti

Copyright @ REDHOTCYBER Srl
PIVA 17898011006