Red Hot Cyber, il blog italiano sulla sicurezza informatica
Red Hot Cyber
La cybersecurity è condivisione. Riconosci il rischio, combattilo, condividi le tue esperienze ed incentiva gli altri a fare meglio di te.
Cerca

L’evoluzione del nuovo “pizzo”, il Ransomware raccontato dallo CSIRT-ITA.

Redazione RHC : 17 Maggio 2021 12:45

Dopo gli ultimi episodi di Colonial Pipeline e l’attacco al servizio sanitario nazionale Irlandese, lo CSIRT-ITA, propone una pubblicazione relativa all’evoluzione del ransomware, una famiglia di malware utilizzata dai criminali informatici per compromettere la disponibilità di dati con lo scopo di ottenere un riscatto dalle vittime per il ripristino dei sistemi.

Passando dalla spiegazione del Ransomware, alla sua evoluzione, al Ransomware as a Service (MaaS), si arriva alla spiegazione di Egregor, un ceppo storico di ransomware, dove una serie di fork di codici malevoli presero vita dopo la chiusura di Maze.

CORSO NIS2 : Network and Information system 2
La direttiva NIS2 rappresenta una delle novità più importanti per la sicurezza informatica in Europa, imponendo nuovi obblighi alle aziende e alle infrastrutture critiche per migliorare la resilienza contro le cyber minacce. Con scadenze stringenti e penalità elevate per chi non si adegua, comprendere i requisiti della NIS2 è essenziale per garantire la compliance e proteggere la tua organizzazione.

Accedi All'Anteprima del Corso condotto dall'Avv. Andrea Capelli sulla nostra Academy e segui l'anteprima gratuita.
Per ulteriori informazioni, scrivici ad [email protected] oppure scrivici su Whatsapp al 379 163 8765 

Supporta RHC attraverso:


Ti piacciono gli articoli di Red Hot Cyber? Non aspettare oltre, iscriviti alla newsletter settimanale per non perdere nessun articolo.

Chi è Egregor

Egregor è un gruppo di criminali informatici specializzato in una branca unica degli attacchi ransomware, oltre ad un termine nella magia occidentale che si riferisce all’energia collettiva di un gruppo di persone unite con uno scopo comune.

Si ipotizza che gli operatori di ransomware del famigerato gruppo di criminali informatici Maze, abbiano formato Egregor dopo aver chiuso le loro operazioni nell’ottobre 2020.

Gli sforzi di attacco ransomware di Maze erano di vasta portata, fornendo al gruppo Egregor appena formato una piattaforma importante da cui scalare.


Portata degli attacchi del ransomware Maze

Egregor ha guadagnato la sua reputazione distruttiva dopo che il gruppo ha violato con successo Barnes & Noble e gli sviluppatori di videogiochi Crytek e Ubisoft nell’ottobre 2020.

Nell’attacco informatico di Barnes & Noble, Egregor ha affermato di aver avuto accesso a informazioni finanziarie e di audit. In un’e-mail interna ai propri clienti, Barnes & Noble ha dichiarato che i dati finanziari dei clienti non sono stati rubati . L’attacco ha anche causato interruzioni temporanee agli e-reader di Barnes & Noble’s Nook.

Negli attacchi informatici di Crytek e Ubisoft, la banda di ransomware ha affermato di aver esfiltrato i codici sorgente per le prossime versioni, tra cui Watchdogs: Legion e Arena of Fate. Egregor ha pubblicato un sottoinsieme dei dati rubati sul proprio sito Web sul dark web, ma la legittimità della violazione del codice sorgente è stata inconcludente.

E da li iniziò quella che viene chiamata “la seconda estorsione”.

Come i criminali attaccano

In genere, per ottenere un primo accesso alla rete dell’obiettivo, gli attaccanti sono soliti:

  1. colpire le installazioni RDP (Remote Desktop Protocol) o altri sistemi di accesso alle reti private virtuali;
  2.  utilizzare email di phishing con allegati/link dannosi;
  3. sfruttare altre vulnerabilità di prodotti.

Considerata l’estensione della superficie potenzialmente accessibile, il vettore iniziale dell’attacco spesso rimane l’elemento più difficile da rilevare con certezza negli incidenti. Le fasi che tendono invece a essere meglio definite sono quelle successive, vale a dire:

  1.  l’escalation di privilegi;
  2.  l’attivazione di meccanismi di persistenza;
  3.  l’esfiltrazione dei dati.

Questi stadi, che possono variare a seconda della grandezza e complessità della rete, si realizzano con tempistiche differenti, culminano nella distribuzione massiva del ransomware sui sistemi centrali dell’infrastruttura di riferimento e possono interessare all’occorrenza sistemi secondari, anche geograficamente dislocati.

Gli utilizzatori di Egregor sono soliti avviare la distribuzione del ransomware solo dopo essersi garantiti un profondo livello di compromissione dell’infrastruttura oggetto dell’attacco, in modo da assicurare il buon esito dell’esfiltrazione di informazioni ad alto valore e la cifratura dei dati, ovvero gli elementi sostanziali del ricatto (double extortion).

La strategia più comune adottata dagli attori prevede:

  1.  l’ottenimento di un punto di accesso;
  2.  l’impianto di meccanismi di persistenza nella rete;
  3.  la ricognizione interna;
  4.  i movimenti laterali;
  5.  la compromissione di sistemi aggiuntivi;
  6.  l’esfiltrazione dei dati della vittima;
  7.  l’esecuzione massiva del payload del ransomware.
  8. Una volta avuto accesso alla rete, gli attaccanti tendono

Recenti attacchi hanno ad esempio interessato la vulnerabilità associata alla CVE-2020-0787, corretta nell’aggiornamento di sicurezza rilasciato da Microsoft a marzo 2020, che consiste in una falla di tipo “Arbitrary File Move” nella componente Windows BITS (Background Intelligent Transfer Service). Altre segnalazioni, limitate e non confermate, hanno comunicato l’utilizzo della CVE-2020-0688 (vulnerabilità che consente l’esecuzione di codice remoto in Microsoft Exchange), mentre altri eventi ancora sembrano contemplare il possibile sfruttamento della CVE-2018-8174 (VBScript Engine) e delle CVE-2018-4878 e CVE-2018-15982 di Adobe Flash Player.

Come difenderci

Una parte importante, giustamente presente nel documento dello CSIRT è come proteggersi dagli attacchi di Ransomware. In particolare, vengono elencate di seguito alcune misure di mitigazione atte a ridurre il rischio e a limitare eventuali impatti:

  • effettuare regolari backup dei dati critici, preferibilmente in modalità offline (assicurando copie degli stessi ad esempio nel cloud, su un disco rigido esterno o su un apposito dispositivo di archiviazione);
  • proteggere i backup assicurandosi che gli stessi non siano accessibili per la modifica o l’eliminazione dai sistemi in cui risiedono abitualmente;
  • installare su tutti i sistemi software antivirus e/o antimalware, avendo cura di aggiornare il prodotto regolarmente;
  • utilizzare solo reti protette, evitando l’utilizzo di Wi-Fi pubbliche;
  • implementare l’autenticazione multifattore, in particolare su tutte le componenti esposte su Internet;
  • non aprire senza opportune verifiche allegati o collegamenti in email non attese;
  • prevedere per il personale periodiche sessioni di formazione finalizzate a riconoscere il phishing e le minacce associate alla posta elettronica;
  • garantire il giusto grado di consapevolezza digitale tra i dipendenti;
  • verificare la presenza di vulnerabilità che impattano prodotti e applicazioni di accesso remoto, con particolare riferimento alle recenti vulnerabilità del
  • TLP – WHITE
  • 17
  • protocollo RDP (CVE-2020-0609, CVE-2020-0610, CVE-2020-16896, CVE-2019-1489, CVE-2019-1225, CVE-2019-1224, CVE-2019-1108);
  • • valutare la possibilità di rilevare e bloccare l’utilizzo di beacon Cobalt Strike sulla rete;
  • • analizzare e ridurre la superficie di attacco di Active Directory secondo le best practice di riferimento Microsoft;
  • ridurre al minimo l’utilizzo di credenziali con privilegi di amministratore, implementando soluzioni Just-in-time/Just-enough;
  • monitorare gli eventi di Active Directory per rilevare eventuali segni di intrusione e compromissione;
  • prestare particolare attenzione alle connessioni RDP e all’uso di BITS, wmic e PowerShell sulla rete;

  • implementare regole di base per il controllo degli script;
  • prevenire l’uso di tools, ad esempio PsExec, per i movimenti laterali adottando il principio less-privileged riducendo il numero di account con privilegi elevati e segmentando la rete;
  • mantenere aggiornati tutti i software e i sistemi utilizzati, ponendo particolare attenzione alle soluzioni VPN e ai servizi di accesso remoto;
  • ove possibile, disabilitare le macro;
  • crittografare i documenti sensibili sulla rete per impedirne la divulgazione;
  • se non necessario, evitare di esporre servizi di accesso remoto (come RDP) su reti pubbliche e utilizzare sempre password complesse per questi servizi, preferendo meccanismi di autenticazione forte (come l’autenticazione a più fattori);
  • predisporre un piano di risposta agli attacchi informatici.

Lo sfruttamento di vulnerabilità o di configurazioni di sicurezza non ottimali che interessano le tecnologie e servizi esposti sulla rete perimetrale è tra i punti di accesso privilegiati nelle incursioni ransomware.

Le attività di difesa devono pertanto prevedere cicli di verifica, ad esempio tramite vulnerability assessment (VA), al fine di garantire la tempestiva risoluzione delle stesse.

Fonte

https://csirt.gov.it/contenuti/ransomware-evoluzione-e-misure-di-protezione?fbclid=IwAR0-75iOpbkgieXW7Y4zzqPPi6Z5L5KMj3LaQGL45gtpo11jubFF1rlAtdo

Redazione
La redazione di Red Hot Cyber è composta da un insieme di persone fisiche e fonti anonime che collaborano attivamente fornendo informazioni in anteprima e news sulla sicurezza informatica e sull'informatica in generale.

Lista degli articoli

Articoli in evidenza

RHC Conference 2025: 2 giorni di sicurezza informatica tra panel, workshop e Capture The Flag

Sabato 9 maggio, al Teatro Italia di Roma, si è chiusa la Red Hot Cyber Conference 2025, l’appuntamento annuale gratuito creato dalla community di RHC dedicato alla sicurezza informatica, ...

Gli hacker criminali di Nova rivendicano un attacco informatico al Comune di Pisa

La banda di criminali informatici di NOVA rivendica all’interno del proprio Data Leak Site (DLS) un attacco informatico al Comune di Pisa. Disclaimer: Questo rapporto include screenshot e/o tes...

Attacco informatico all’Università Roma Tre: intervengono ACN e Polizia Postale

Un grave attacco informatico ha colpito l’infrastruttura digitale dell’Università nella notte tra l’8 e il 9 maggio, causando l’interruzione improvvisa dei servizi onl...

Sei Davvero Umano? Shock su Reddit: migliaia di utenti hanno discusso con dei bot senza saperlo

Per anni, Reddit è rimasto uno dei pochi angoli di Internet in cui era possibile discutere in tutta sicurezza di qualsiasi argomento, dai videogiochi alle criptovalute, dalla politica alle teorie...

GPU sotto sorveglianza! l’America vuole sapere dove finiscono le sue GPU e soprattutto se sono in Cina

Le autorità statunitensi continuano a cercare soluzioni per fermare la fuga di chip avanzati verso la Cina, nonostante le rigide restrizioni all’esportazione in vigore. Il senatore Tom Cot...

Categorie
Segui i corsi di ethical hacking di CyberSecurityUP
Banner
Redhotcyber è un progetto di open-news nato nel 2019 e successivamente ampliato in una rete di persone che collaborano alla divulgazione di informazioni e temi incentrati la tecnologia, l'Information Technology e la sicurezza informatica, con lo scopo di accrescere i concetti di consapevolezza del rischio ad un numero sempre più crescente di persone.

PRINCIPALI CATEGORIE
Attacchi Informatici Italiani
Dark Web & Cybercrime
0day, bug e Vulnerabilità
Hacking
Cybersecurity Italia
Cyberpolitica & Intelligence

RISORSE
Academy
Rubriche
Il manifesto di Red Hot Cyber
Feed RSS
Contatti

Copyright @ REDHOTCYBER Srl
PIVA 17898011006