L’attacco hacker a Luxottica: scopriamo la cyber-gang Nefilim.

Antonio Piovesan : 5 Giugno 2021 09:00

Il ransomware è un tipo di malware cripto-virologico che minaccia di pubblicare i dati della vittima o di bloccarne in modo continuativo l’accesso a meno che non venga pagato un riscatto. Mentre alcuni semplici ransomware possono bloccare il sistema in modo che non sia difficile, per una persona esperta, tornare ad avere accesso ai dati, i malware più avanzati utilizzano una tecnica chiamata estorsione criptovirale. Il ransomware criptovirale crittografa i file della vittima, rendendoli inaccessibili e richiede un pagamento di riscatto per decrittografarli.

In un attacco di estorsione criptovirale correttamente implementato, il recupero dei file senza la chiave di decrittazione è un problema intrattabile e le valute digitali difficili da rintracciare come paysafecard o Bitcoin, o altre criptovalute, vengono utilizzate per i riscatti. Ciò rende difficile rintracciare/perseguire gli autori del crimine.

Nefilim è un ransomware noto per operare in modalità double-extortion: estorsione per recupero in chiaro dei dati crittografati e ricatto per minaccia di pubblicazione di dati esfiltrati.

Luxottica

Luxottica, proprietaria dei famosi marchi di occhiali Ray Ban, Oakley, Micheal Kors, Prada, Chanel e molti altri, ha dovuto affrontare gravi problemi tecnici che hanno portato alla chiusura temporanea dei loro uffici di Agordo e Sedico (Belluno – Italia), nonché del loro Web Portal online. Luxottica è un gruppo societario italiano nel mercato dello Eyeware, nonché la più grande azienda al mondo nel settore degli occhiali. In qualità di azienda integrata verticalmente, Luxottica progetta, produce, distribuisce e vende al dettaglio i suoi marchi di occhiali, tra cui LensCrafters, Sunglass Hut, Apex by Sunglass Hut, Pearle Vision, Target Optical, Eyemed vision care plan e Glasses.com.

I suoi marchi più noti sono Ray-Ban, Persol e Oakley. Luxottica produce anche occhiali da sole e montature da vista per marchi di stilisti come Chanel, Prada, Giorgio Armani, Burberry, Versace, Dolce e Gabbana, Miu Miu e Tory Burch. Luxottica impiega oltre 80.000 persone e ha generato 9,4 miliardi di ricavi per il 2019. L’azienda è stata colpita da un attacco informatico con ransomware Nefilim, avvenuto il 21/09/2020, quando alcuni dei siti web gestiti dall’azienda non erano più raggiungibili, tra cui Ray-Ban, Sunglass Hut, LensCrafters, EyeMed e Pearle Vision.

Gli autori della minacca hanno modificato/ampliato il modo in cui funziona il classico attacco ransomware. Invece di limitarsi a crittografare i dati e richiedere il riscatto in cambio della chiave di decrittazione, alcuni attacchi prevedono il furto di dati: ciò rappresenta una doppia minaccia per le organizzazioni, poiché non solo devono affrontare la minaccia di perdere l’accesso a file importanti, ma anche di esporre al pubblico le proprie informazioni riservate e/o sensibili con anche potenzialmente impatti relativi alla normativa EU General Data Protection Regulation 2016/679 (GDPR) – denunce al garante/agli interessati causa Data Leak.

Etimologia nella mitologia con riferimenti archeo-fantastici?

L’appellativo Nefilim (in ebraico נפלים, presente nell’Antico Testamento Torah), in diversi libri non canonici del Giudaismo e in antichi scritti cristiani, si riferisce ad un popolo di giganti che sarebbe stato presente sulla terra al tempo dell’incrocio tra i “figli di Dio” e le “figlie degli uomini”.

Alcune versioni parlano dei Nefilim come di eroi famosi, guerrieri caduti o angeli caduti; un’ennesima traduzione potrebbe essere “coloro che sono precipitati”, giacché il nome deriva dalla radice semitica “nafal”, che significa cadere. Zecharia Sitchin ed Erich Von Daniken hanno scritto libri sostenendo che i Nephilim/Nefilim siano i nostri antenati e che noi siamo stati creati (con l’ingegneria genetica) da una razza aliena (per i sumeri gli Annunaki, per altre credenze i nordici o gli abitanti di Nibiru).

Nei voluminosi libri di Sitchin si impiega l’etimologia della lingua semitica e traduzioni delle tavolette in scritta cuneiforme dei Sumeri, per identificare gli antichi dei mesopotamici con gli angeli caduti (i “figli degli Elohim” della Genesi): osservando che tutti gli angeli vennero creati prima della Terra, Sitchin constata che non possono essere della Terra e dunque, potrebbero tutti essere considerati semanticamente come dei puri “extraterrestri”

Ma vediamo lo schema d’attacco

I Threat actors dietro il ransomware Nefilim potrebbero aver utilizzato sui sistemi Luxottica uno schema simile a quanto qui di seguito riportato:

1. Fase di attacco 1 – L’ingresso: accesso tramite vulnerabilità su RDP Citrix, escalation dei privilegi tramite exploit locale, utilizzo di Mimikatz per carpire le credenziali, utilizzo di AdFind per esplorare Active Directory, distribuzione di CobaltStrike per il controllo dell’ambiente, scansione delle porte.
2. Fase di attacco 2 – Lo spostamento laterale sulla rete: utilizzo di file .bat e delle credenziali raccolte con Mimikatz, esecuzione di rilevamento dati per possibile esfiltrazione.
3. Fase di attacco 3 – Esfiltrazione dei dati: copia di dati dai server / da directory condivise ad una directory locale e compressione con tool 7-zip precedentemente “inoculato”, rilascio e installazione del tool MegaSync per esfiltrazione dei dati.
4. Fase di attacco 4 – Esecuzione del ransomware: settimane dopo la compromissione iniziale (si suppone), utilizzo di WMI/Psexec.exe per copiare file .bat in C$\windows\temp\, esecuzione da remoto di files .bat per terminare Windows Services ed eseguire il ransomware per crittografare i file.

Timeline dell’attacco Luxottica in dettaglio

1. Nefilim è ampiamente noto per raggiungere i sistemi tramite RDP. Ciò è supportato da vari rapporti, da cui è stato rilevato l’utilizzo della vulnerabilità Citrix (CVE-2019-19781), un RDP non sicuro attaccato attraverso il “brute-force” (Fonte trendmicro.com).
2. Nefilim è stato visto in più casi utilizzare strumenti di terze parti per raccogliere credenziali, tools che includono Mimikatz, LaZagne e NetPass di NirSoft. Le credenziali rubate vengono utilizzate per raggiungere macchine di alto valore come altri server nella LAN aziendale.
3. Una volta all’interno di un sistema vittima, il ransomware inizia a rilasciare ed eseguire i suoi componenti come l’anti-antivirus, gli strumenti di esfiltrazione e infine lo stesso Nefilim.
4. Spostamento laterale sulla rete: gli aggressori si avvalgono di diversi strumenti legittimi per il movimento laterale. Usano PsExec o Windows Management Instrumentation (WMI) per il movimento laterale, il rilascio e l’esecuzione di altri componenti, incluso il ransomware stesso. È stato osservato che Nefilim utilizza un file batch per terminare determinati processi e servizi. Utilizza anche strumenti di terze parti come PC Hunter, Process Hacker e Revo Uninstaller per terminare i processi, i servizi e le applicazioni relativi all’antivirus. Nefilim può inoltre usare AdFind, BloodHound o SMBTool per identificare directory attive e/o macchine collegate al dominio.
5. Esfiltrazione dei dati: è stato osservato che Nefilim copia i dati dai server o dalle directory condivise in una directory locale e li archivia utilizzando 7-Zip. Quindi utilizza MEGAsync per esfiltrare questi dati.
6. Settimane dopo la compromissione iniziale, utilizza WMI / Psexec.exe per copiare un file .bat in C$\ windows\temp\. Esegue in remoto il file .bat per uccidere i servizi ed eseguire il ransomware per crittografare i files. Gli attacchi ransomware che interrompono le operazioni hanno un impatto negativo sui rendiconti finanziari. Possono anche pesare negativamente sul prezzo delle azioni nei mesi successivi alla violazione.

Gli attacchi ransomware che interrompono le operazioni hanno un impatto negativo sui rendiconti finanziari. Possono anche pesare negativamente sul prezzo delle azioni nei mesi successivi alla violazione.

Il famoso esperto italiano di cyber security “Odysseus” ha rivelato sul sito web “Difesa e Sicurezza” che gli operatori di ransomware Nefilim hanno poi pubblicato un lungo elenco di file che sembravano appartenere a Luxottica.

Ma quali sono state le vulnerabilità sfruttate?

• Vulnerabilità n. 1 Mancata correzione di una vulnerabilità che era stata originariamente pubblicizzata 9 mesi prima dell’attacco (Citrix CVE-2019-19781);
• Vulnerabilità n. 2 Vulnerabilità RCE (Remote Code Execution);
• Vulnerabilità n. 3 Poor Endpoint Protection;
• Vulnerabilità n. 4 Mancanza di sistemi di analisi/monitoraggio NIDS / NIPS;
• Vulnerabilità n. 5 Rete NON segmentata.

Costi

È difficile quantificare esattamente quali siano i costi di un attacco ransomware, ma Sophos, leader globale nella sicurezza informatica di ultima generazione, ha annunciato nella sua ricerca “The State of Ransomware 2021”, che il costo totale per il recupero dei dati criptati durante un attacco ransomware raddoppi quando le aziende decidono di pagare il riscatto ai cybercriminali.

Ecco alcune delle tendenze emerse da questa survey che ha coinvolto 5.000 responsabili IT di imprese presenti in 26 paesi di tutto il mondo:

• più della metà (51%) delle aziende intervistate ha subito un significativo attacco ransomware nel corso dei 12 mesi precedenti, rispetto al 54% rilevato del 2017,
• in quasi tre quarti (73%) degli attacchi, i dati sono stati criptati,
• il costo medio di un attacco è stato di oltre 730.000 dollari per il 2020, derivante dai tempi di fermo aziendale, gli ordini persi, i costi operativi e altro ancora,
• questo costo medio aumenta sensibilmente fino a 1,4 milioni di dollari, quindi quasi il doppio, nei casi in cui le aziende abbiano scelto di pagare il riscatto,
• più di un quarto (27%) delle organizzazioni colpite dal ransomware ha ammesso di aver pagato il riscatto.

Prevenzione

Forniamo un breve elenco con elementi utili per abbassare il rischio in scenari simili: 

• utilizzare l’autenticazione a più fattori (MFA);
• implementare la lista di sicurezza delle applicazioni e praticare la sicurezza con i privilegi minimi;
• evitare di aprire e-mail non verificate o di fare clic sui collegamenti incorporati, poiché possono avviare il processo di installazione del ransomware;
• limitare l’uso in ingresso ai server attraverso RDP;
• eseguire il backup di file importanti utilizzando la regola 3-2-1: creare tre copie di backup su due diversi formati di file, con uno dei backup in una posizione separata;
• aggiornare regolarmente software, programmi e applicazioni per assicurarsi che le proprie app siano aggiornate, con le ultime protezioni dalle nuove vulnerabilità.

Tools per il DETECT di intrusione in atto

impedire il movimento laterale (segmentazione e segregazione della rete, con opportuna policy RBAC sui ruoli/diritti di accesso)  utilizzare il monitoraggio basato su canaries file (https://share.zabbix.com/cat-app/security/canary-filesmonitoring)  usare il proactive monitoring / pre-encryption detection algorithm (https://www.sciencedirect.com/science/article/pii/S1319157820304122)

Antonio Piovesan
Laureato in ingegneria Informatica nel 2002, certificato CISSP dal 2023, entra nel mondo ICT come analista/full stack developer. Prosegue nella formazione frequentando un executive Master in cybersecurity e data protection presso 24ORE Business School. Si occupa ora di temi legati alla cybersecurity governance in ambito grande distribuzione organizzata. Nutre una forte passione per la tecnologia, l’innovazione e la cybersecurity, favorendo la diffusione della consapevolezza al rischio digitale. Ama leggere libri sulla storia della matematica ed è un appassionato di letteratura e cinematografia fantascientifica.

Lista degli articoli