Dopo gli ultimi episodi di Colonial Pipeline e l'attacco al servizio sanitario nazionale Irlandese, lo CSIRT-ITA, propone una pubblicazione relativa all'evoluzione del ransomware, una famiglia di malware utilizzata dai criminali informatici per compromettere la disponibilità di dati con lo scopo di ottenere un riscatto dalle vittime per il ripristino dei sistemi.

Passando dalla spiegazione del Ransomware, alla sua evoluzione, al Ransomware as a Service (MaaS), si arriva alla spiegazione di Egregor, un ceppo storico di ransomware, dove una serie di fork di codici malevoli presero vita dopo la chiusura di Maze.

Chi è Egregor

Egregor è un gruppo di criminali informatici specializzato in una branca unica degli attacchi ransomware, oltre ad un termine nella magia occidentale che si riferisce all'energia collettiva di un gruppo di persone unite con uno scopo comune.

Si ipotizza che gli operatori di ransomware del famigerato gruppo di criminali informatici Maze, abbiano formato Egregor dopo aver chiuso le loro operazioni nell'ottobre 2020.

Gli sforzi di attacco ransomware di Maze erano di vasta portata, fornendo al gruppo Egregor appena formato una piattaforma importante da cui scalare.

Portata degli attacchi del ransomware Maze

Egregor ha guadagnato la sua reputazione distruttiva dopo che il gruppo ha violato con successo Barnes & Noble e gli sviluppatori di videogiochi Crytek e Ubisoft nell'ottobre 2020.

Nell'attacco informatico di Barnes & Noble, Egregor ha affermato di aver avuto accesso a informazioni finanziarie e di audit. In un'e-mail interna ai propri clienti, Barnes & Noble ha dichiarato che i dati finanziari dei clienti non sono stati rubati . L'attacco ha anche causato interruzioni temporanee agli e-reader di Barnes & Noble's Nook.

Negli attacchi informatici di Crytek e Ubisoft, la banda di ransomware ha affermato di aver esfiltrato i codici sorgente per le prossime versioni, tra cui Watchdogs: Legion e Arena of Fate. Egregor ha pubblicato un sottoinsieme dei dati rubati sul proprio sito Web sul dark web, ma la legittimità della violazione del codice sorgente è stata inconcludente.

E da li iniziò quella che viene chiamata "la seconda estorsione".

Come i criminali attaccano

In genere, per ottenere un primo accesso alla rete dell’obiettivo, gli attaccanti sono soliti:

1. colpire le installazioni RDP (Remote Desktop Protocol) o altri sistemi di accesso alle reti private virtuali;

2.  utilizzare email di phishing con allegati/link dannosi;

3. sfruttare altre vulnerabilità di prodotti.

Considerata l’estensione della superficie potenzialmente accessibile, il vettore iniziale dell’attacco spesso rimane l’elemento più difficile da rilevare con certezza negli incidenti. Le fasi che tendono invece a essere meglio definite sono quelle successive, vale a dire:

1.  l’escalation di privilegi;

2.  l’attivazione di meccanismi di persistenza;

3.  l’esfiltrazione dei dati.

Questi stadi, che possono variare a seconda della grandezza e complessità della rete, si realizzano con tempistiche differenti, culminano nella distribuzione massiva del ransomware sui sistemi centrali dell’infrastruttura di riferimento e possono interessare all'occorrenza sistemi secondari, anche geograficamente dislocati.

Gli utilizzatori di Egregor sono soliti avviare la distribuzione del ransomware solo dopo essersi garantiti un profondo livello di compromissione dell’infrastruttura oggetto dell’attacco, in modo da assicurare il buon esito dell’esfiltrazione di informazioni ad alto valore e la cifratura dei dati, ovvero gli elementi sostanziali del ricatto (double extortion).

La strategia più comune adottata dagli attori prevede:

1.  l’ottenimento di un punto di accesso;

2.  l’impianto di meccanismi di persistenza nella rete;

3.  la ricognizione interna;

4.  i movimenti laterali;

5.  la compromissione di sistemi aggiuntivi;

6.  l’esfiltrazione dei dati della vittima;

7.  l’esecuzione massiva del payload del ransomware.

8. Una volta avuto accesso alla rete, gli attaccanti tendono

Recenti attacchi hanno ad esempio interessato la vulnerabilità associata alla CVE-2020-0787, corretta nell’aggiornamento di sicurezza rilasciato da Microsoft a marzo 2020, che consiste in una falla di tipo “Arbitrary File Move” nella componente Windows BITS (Background Intelligent Transfer Service). Altre segnalazioni, limitate e non confermate, hanno comunicato l’utilizzo della CVE-2020-0688 (vulnerabilità che consente l’esecuzione di codice remoto in Microsoft Exchange), mentre altri eventi ancora sembrano contemplare il possibile sfruttamento della CVE-2018-8174 (VBScript Engine) e delle CVE-2018-4878 e CVE-2018-15982 di Adobe Flash Player.

Come difenderci

Una parte importante, giustamente presente nel documento dello CSIRT è come proteggersi dagli attacchi di Ransomware. In particolare, vengono elencate di seguito alcune misure di mitigazione atte a ridurre il rischio e a limitare eventuali impatti:

• effettuare regolari backup dei dati critici, preferibilmente in modalità offline (assicurando copie degli stessi ad esempio nel cloud, su un disco rigido esterno o su un apposito dispositivo di archiviazione);

• proteggere i backup assicurandosi che gli stessi non siano accessibili per la modifica o l'eliminazione dai sistemi in cui risiedono abitualmente;

• installare su tutti i sistemi software antivirus e/o antimalware, avendo cura di aggiornare il prodotto regolarmente;

• utilizzare solo reti protette, evitando l’utilizzo di Wi-Fi pubbliche;

• implementare l'autenticazione multifattore, in particolare su tutte le componenti esposte su Internet;

• non aprire senza opportune verifiche allegati o collegamenti in email non attese;

• prevedere per il personale periodiche sessioni di formazione finalizzate a riconoscere il phishing e le minacce associate alla posta elettronica;

• garantire il giusto grado di consapevolezza digitale tra i dipendenti;

• verificare la presenza di vulnerabilità che impattano prodotti e applicazioni di accesso remoto, con particolare riferimento alle recenti vulnerabilità del

• TLP – WHITE

• 17

• protocollo RDP (CVE-2020-0609, CVE-2020-0610, CVE-2020-16896, CVE-2019-1489, CVE-2019-1225, CVE-2019-1224, CVE-2019-1108);

• • valutare la possibilità di rilevare e bloccare l'utilizzo di beacon Cobalt Strike sulla rete;

• • analizzare e ridurre la superficie di attacco di Active Directory secondo le best practice di riferimento Microsoft;

• ridurre al minimo l’utilizzo di credenziali con privilegi di amministratore, implementando soluzioni Just-in-time/Just-enough;

• monitorare gli eventi di Active Directory per rilevare eventuali segni di intrusione e compromissione;

• prestare particolare attenzione alle connessioni RDP e all'uso di BITS, wmic e PowerShell sulla rete;

• implementare regole di base per il controllo degli script;

• prevenire l’uso di tools, ad esempio PsExec, per i movimenti laterali adottando il principio less-privileged riducendo il numero di account con privilegi elevati e segmentando la rete;

• mantenere aggiornati tutti i software e i sistemi utilizzati, ponendo particolare attenzione alle soluzioni VPN e ai servizi di accesso remoto;

• ove possibile, disabilitare le macro;

• crittografare i documenti sensibili sulla rete per impedirne la divulgazione;

• se non necessario, evitare di esporre servizi di accesso remoto (come RDP) su reti pubbliche e utilizzare sempre password complesse per questi servizi, preferendo meccanismi di autenticazione forte (come l’autenticazione a più fattori);

• predisporre un piano di risposta agli attacchi informatici.

Lo sfruttamento di vulnerabilità o di configurazioni di sicurezza non ottimali che interessano le tecnologie e servizi esposti sulla rete perimetrale è tra i punti di accesso privilegiati nelle incursioni ransomware.

Le attività di difesa devono pertanto prevedere cicli di verifica, ad esempio tramite vulnerability assessment (VA), al fine di garantire la tempestiva risoluzione delle stesse.

Fonte

https://csirt.gov.it/contenuti/ransomware-evoluzione-e-misure-di-protezione?fbclid=IwAR0-75iOpbkgieXW7Y4zzqPPi6Z5L5KMj3LaQGL45gtpo11jubFF1rlAtdo