Red Hot Cyber
Sicurezza Informatica, Notizie su Cybercrime e Analisi Vulnerabilità
Il ransomware moderno sfrutta tool legittimi per disattivare antivirus e operare senza rilevamento, trasformando l’attacco in un processo industriale. Gli attaccanti utilizzano software fidati per escalation di privilegi, movimento laterale e cifratura dei dati. Il problema non è più il malware, ma l’abuso di strumenti autorizzati. Questo rende inefficaci le difese tradizionali e sposta il rischio sulla governance IT, dove la fiducia nei tool diventa la principale vulnerabilità sfruttata dal cybercrime.
Il ransomware moderno sfrutta dei tool legittimi di basso livello, per disattivare gli antivirus prima di colpire il bersaglio. Questa tecnica si chiama “dual-use dilemma”, e consente agli attaccanti di operare senza essere rilevati all’interno delle infrastrutture target.
Usano strumenti fidati, come ad esempio il Process Hacker, IOBit Unlocker, PowerRun, or AuKill. Il risultato di questo modo di operare, è una catena d’attacco molto silenziosa che permette un accesso iniziale, l’escalation di privilegi, la neutralizzazione delle difese e la cifratura finale dei dati. Tutto questo rendendo inefficaci i normali controlli tradizionali.
Il ransomware non è più solo un banale codice malevolo. E’ divenuto oggi un vero e proprio “processo industriale”. Gli attaccanti studiano i sistemi delle vittime, li osservano, comprendono le difese e poi usano gli strumenti progettati dagli amministratori dei sistemi contro le stesse infrastrutture che dovrebbero essere protette.
Quindi possiamo dire che non serve un malware così sofisticato quando puoi sfruttare ciò che è già autorizzato all’interno delle infrastrutture IT. Tool come Process Hacker, IOBit Unlocker o PowerRun nascono proprio per gestire al meglio i sistemi e risolvere i problemi. Ma questi tool, nelle mani sbagliate potrebbero rilevarsi leve perfette per hackerare una infrastruttura e spegnere gli antivirus senza lasciare tracce evidenti.
Se un software è firmato e diffuso, difficilmente potrà essere bloccato. Questo crea una sorta di fiducia cieca che gli attaccanti sfruttano in modo sistematico. I dati, ci portano all’attenzione il contrario di quello che si pensa: la vera falla non è il malware, ma (come spesso riportiamo) l’estrema fiducia che abbiamo negli strumenti legittimi.
Disattivare l’antivirus non è un dettaglio tecnico, ma risulta l’essenza, il momento chiave. Senza una buona protezione attiva, il ransomware può eseguire i suoi payload, cifrare i file e muoversi liberamente nella rete senza ostacoli e senza alcun alert o risposta immediata.
Ma anche il tempo della durata dell’attacco si è evoluto. Dai semplici comandi come taskkill si è passati alla manipolazione del kernel in modo diretto. Oggi quai tutti i kit RaaS includono dei moduli preconfigurati per eliminare queste difese. Il risultato che un attacco dura meno, diventa veloce e invisibile. E come al solito vale per il crimine da profitto la regola aurea che dice: meno tempo = più soldi.
Anche la kill chain è industriale. Accesso iniziale (generalmente tramite phishing o credenziali rubate), escalation dei privilegi con tool come PowerRun e neutralizzazione dell’antivirus. A seguire, avviene il furto di credenziali (generalmente con Mimikatz) e la relativa pulizia delle tracce e quindi l’esecuzione del ransomware.
Possiamo dire che sono due le fasi che dominano l’attacco. Nella prima, gli strumenti Process Hacker o TDSSKiller vengono usati per terminare processi e driver di sicurezza. Nella seconda, delle utility più aggressive permettono controllo a livello di kernel e la cancellazione dei log e la distribuzione dei payload.
Questo schema è stato osservato in molte campagne diffuse, mentre l’uso dei tool legittimi è stato rilevato all’interno di famiglie come LockBit, Dharma o MedusaLocker. In sintesi, il tutto si basa sullo stesso copione, anche se possono cambiare gli strumenti.
Chi si difende, molto spesso guarda dalla parte sbagliata in quanto cerca le firme malevole, dove invece l’attacco avviene sfruttando software legittimo. Il risultato è una ampia zona grigia dove il comportamento risulta simile a quello amministrativo, ma l’intento è completamente distruttivo.
Le contromisure esistono per monitorare questi processi e le modifiche al registro, oltre ad impostare limiti agli strumenti amministrativi. Ma c’è un problema più importante e difficile da superare: il problema culturale in quanto troppi ambienti IT lasciano questi tool accessibili, senza alcuna restrizioni.
Quindi non è la tecnologia a fallire ma è come sempre la cultura delle persone, la governance. Bloccare un malware lo sappiamo che è difficile, ma bloccare un tool legittimo usato male è ancora più complesso nelle aziende.
Il futuro non promette grandi miglioramenti. L’automazione, le AI, gli attacchi alla supply chain renderanno queste tecniche più utilizzate e più precise. E quando anche gli strumenti di difesa inizieranno ad essere manipolati a fondo in tempo reale, la domanda non sarà più “come è entrato l’attaccante”, ma “perché nessuno se ne sia accorto”.
