Red Hot Cyber, il blog italiano sulla sicurezza informatica
Red Hot Cyber
La cybersecurity è condivisione. Riconosci il rischio, combattilo, condividi le tue esperienze ed incentiva gli altri a fare meglio di te.
Select language
English Spanish
Cerca
Red Hot Cyber Academy

L’evoluzione del nuovo “pizzo”, il Ransomware raccontato dallo CSIRT-ITA.

Redazione RHC : 17 Maggio 2021 12:45

Dopo gli ultimi episodi di Colonial Pipeline e l’attacco al servizio sanitario nazionale Irlandese, lo CSIRT-ITA, propone una pubblicazione relativa all’evoluzione del ransomware, una famiglia di malware utilizzata dai criminali informatici per compromettere la disponibilità di dati con lo scopo di ottenere un riscatto dalle vittime per il ripristino dei sistemi.

Passando dalla spiegazione del Ransomware, alla sua evoluzione, al Ransomware as a Service (MaaS), si arriva alla spiegazione di Egregor, un ceppo storico di ransomware, dove una serie di fork di codici malevoli presero vita dopo la chiusura di Maze.


CALL FOR SPONSOR - Sponsorizza l'ottavo episodio della serie Betti-RHC

Sei un'azienda innovativa, che crede nella diffusione di concetti attraverso metodi "non convenzionali"? Conosci il nostro corso sul cybersecurity awareness a fumetti? Red Hot Cyber sta ricercando un nuovo sponsor per una nuova puntata del fumetto Betti-RHC mentre il team è impegnato a realizzare 3 nuovi episodi che ci sono stati commissionati.

Contattaci tramite WhatsApp al numero 375 593 1011 per richiedere ulteriori informazioni oppure alla casella di posta [email protected]



Supporta RHC attraverso:


Ti piacciono gli articoli di Red Hot Cyber? Non aspettare oltre, iscriviti alla newsletter settimanale per non perdere nessun articolo.


Chi è Egregor

Egregor è un gruppo di criminali informatici specializzato in una branca unica degli attacchi ransomware, oltre ad un termine nella magia occidentale che si riferisce all’energia collettiva di un gruppo di persone unite con uno scopo comune.

Si ipotizza che gli operatori di ransomware del famigerato gruppo di criminali informatici Maze, abbiano formato Egregor dopo aver chiuso le loro operazioni nell’ottobre 2020.

Gli sforzi di attacco ransomware di Maze erano di vasta portata, fornendo al gruppo Egregor appena formato una piattaforma importante da cui scalare.


Portata degli attacchi del ransomware Maze

Egregor ha guadagnato la sua reputazione distruttiva dopo che il gruppo ha violato con successo Barnes & Noble e gli sviluppatori di videogiochi Crytek e Ubisoft nell’ottobre 2020.

Nell’attacco informatico di Barnes & Noble, Egregor ha affermato di aver avuto accesso a informazioni finanziarie e di audit. In un’e-mail interna ai propri clienti, Barnes & Noble ha dichiarato che i dati finanziari dei clienti non sono stati rubati . L’attacco ha anche causato interruzioni temporanee agli e-reader di Barnes & Noble’s Nook.

Negli attacchi informatici di Crytek e Ubisoft, la banda di ransomware ha affermato di aver esfiltrato i codici sorgente per le prossime versioni, tra cui Watchdogs: Legion e Arena of Fate. Egregor ha pubblicato un sottoinsieme dei dati rubati sul proprio sito Web sul dark web, ma la legittimità della violazione del codice sorgente è stata inconcludente.

E da li iniziò quella che viene chiamata “la seconda estorsione”.

Come i criminali attaccano

In genere, per ottenere un primo accesso alla rete dell’obiettivo, gli attaccanti sono soliti:

  1. colpire le installazioni RDP (Remote Desktop Protocol) o altri sistemi di accesso alle reti private virtuali;
  2.  utilizzare email di phishing con allegati/link dannosi;
  3. sfruttare altre vulnerabilità di prodotti.

Considerata l’estensione della superficie potenzialmente accessibile, il vettore iniziale dell’attacco spesso rimane l’elemento più difficile da rilevare con certezza negli incidenti. Le fasi che tendono invece a essere meglio definite sono quelle successive, vale a dire:

  1.  l’escalation di privilegi;
  2.  l’attivazione di meccanismi di persistenza;
  3.  l’esfiltrazione dei dati.

Questi stadi, che possono variare a seconda della grandezza e complessità della rete, si realizzano con tempistiche differenti, culminano nella distribuzione massiva del ransomware sui sistemi centrali dell’infrastruttura di riferimento e possono interessare all’occorrenza sistemi secondari, anche geograficamente dislocati.

Gli utilizzatori di Egregor sono soliti avviare la distribuzione del ransomware solo dopo essersi garantiti un profondo livello di compromissione dell’infrastruttura oggetto dell’attacco, in modo da assicurare il buon esito dell’esfiltrazione di informazioni ad alto valore e la cifratura dei dati, ovvero gli elementi sostanziali del ricatto (double extortion).

La strategia più comune adottata dagli attori prevede:

  1.  l’ottenimento di un punto di accesso;
  2.  l’impianto di meccanismi di persistenza nella rete;
  3.  la ricognizione interna;
  4.  i movimenti laterali;
  5.  la compromissione di sistemi aggiuntivi;
  6.  l’esfiltrazione dei dati della vittima;
  7.  l’esecuzione massiva del payload del ransomware.
  8. Una volta avuto accesso alla rete, gli attaccanti tendono

Recenti attacchi hanno ad esempio interessato la vulnerabilità associata alla CVE-2020-0787, corretta nell’aggiornamento di sicurezza rilasciato da Microsoft a marzo 2020, che consiste in una falla di tipo “Arbitrary File Move” nella componente Windows BITS (Background Intelligent Transfer Service). Altre segnalazioni, limitate e non confermate, hanno comunicato l’utilizzo della CVE-2020-0688 (vulnerabilità che consente l’esecuzione di codice remoto in Microsoft Exchange), mentre altri eventi ancora sembrano contemplare il possibile sfruttamento della CVE-2018-8174 (VBScript Engine) e delle CVE-2018-4878 e CVE-2018-15982 di Adobe Flash Player.

Come difenderci

Una parte importante, giustamente presente nel documento dello CSIRT è come proteggersi dagli attacchi di Ransomware. In particolare, vengono elencate di seguito alcune misure di mitigazione atte a ridurre il rischio e a limitare eventuali impatti:

  • effettuare regolari backup dei dati critici, preferibilmente in modalità offline (assicurando copie degli stessi ad esempio nel cloud, su un disco rigido esterno o su un apposito dispositivo di archiviazione);
  • proteggere i backup assicurandosi che gli stessi non siano accessibili per la modifica o l’eliminazione dai sistemi in cui risiedono abitualmente;
  • installare su tutti i sistemi software antivirus e/o antimalware, avendo cura di aggiornare il prodotto regolarmente;
  • utilizzare solo reti protette, evitando l’utilizzo di Wi-Fi pubbliche;
  • implementare l’autenticazione multifattore, in particolare su tutte le componenti esposte su Internet;
  • non aprire senza opportune verifiche allegati o collegamenti in email non attese;
  • prevedere per il personale periodiche sessioni di formazione finalizzate a riconoscere il phishing e le minacce associate alla posta elettronica;
  • garantire il giusto grado di consapevolezza digitale tra i dipendenti;
  • verificare la presenza di vulnerabilità che impattano prodotti e applicazioni di accesso remoto, con particolare riferimento alle recenti vulnerabilità del
  • TLP – WHITE
  • 17
  • protocollo RDP (CVE-2020-0609, CVE-2020-0610, CVE-2020-16896, CVE-2019-1489, CVE-2019-1225, CVE-2019-1224, CVE-2019-1108);
  • • valutare la possibilità di rilevare e bloccare l’utilizzo di beacon Cobalt Strike sulla rete;
  • • analizzare e ridurre la superficie di attacco di Active Directory secondo le best practice di riferimento Microsoft;
  • ridurre al minimo l’utilizzo di credenziali con privilegi di amministratore, implementando soluzioni Just-in-time/Just-enough;
  • monitorare gli eventi di Active Directory per rilevare eventuali segni di intrusione e compromissione;
  • prestare particolare attenzione alle connessioni RDP e all’uso di BITS, wmic e PowerShell sulla rete;

  • implementare regole di base per il controllo degli script;
  • prevenire l’uso di tools, ad esempio PsExec, per i movimenti laterali adottando il principio less-privileged riducendo il numero di account con privilegi elevati e segmentando la rete;
  • mantenere aggiornati tutti i software e i sistemi utilizzati, ponendo particolare attenzione alle soluzioni VPN e ai servizi di accesso remoto;
  • ove possibile, disabilitare le macro;
  • crittografare i documenti sensibili sulla rete per impedirne la divulgazione;
  • se non necessario, evitare di esporre servizi di accesso remoto (come RDP) su reti pubbliche e utilizzare sempre password complesse per questi servizi, preferendo meccanismi di autenticazione forte (come l’autenticazione a più fattori);
  • predisporre un piano di risposta agli attacchi informatici.

Lo sfruttamento di vulnerabilità o di configurazioni di sicurezza non ottimali che interessano le tecnologie e servizi esposti sulla rete perimetrale è tra i punti di accesso privilegiati nelle incursioni ransomware.

Le attività di difesa devono pertanto prevedere cicli di verifica, ad esempio tramite vulnerability assessment (VA), al fine di garantire la tempestiva risoluzione delle stesse.

Fonte

https://csirt.gov.it/contenuti/ransomware-evoluzione-e-misure-di-protezione?fbclid=IwAR0-75iOpbkgieXW7Y4zzqPPi6Z5L5KMj3LaQGL45gtpo11jubFF1rlAtdo

Redazione
La redazione di Red Hot Cyber è composta da un insieme di persone fisiche e fonti anonime che collaborano attivamente fornendo informazioni in anteprima e news sulla sicurezza informatica e sull'informatica in generale.

Lista degli articoli

Articoli in evidenza

Operazione Checkmate: colpo grosso delle forze dell’ordine. BlackSuit è stato fermato!
Di Redazione RHC - 25/07/2025

Nel corso di un’operazione internazionale coordinata, denominata “Operation Checkmate”, le forze dell’ordine hanno sferrato un duro colpo al gruppo ransomware BlackSuit (qu...

I Mostri sono stati puniti! GreySkull: 18 condanne e 300 anni di carcere per i pedofili
Di Redazione RHC - 25/07/2025

Il Dipartimento di Giustizia degli Stati Uniti ha segnalato lo smantellamento di quattro piattaforme darknet utilizzate per la distribuzione di materiale pedopornografico. Contemporaneamente, un dicio...

Nuovi attacchi all’Italia da NoName057(16) e una Infiltrazione nel sistema idrico ceco
Di Redazione RHC - 24/07/2025

“Combattere il cybercrime è come estirpare le erbacce: se non elimini le radici a fondo, queste ricresceranno” e oggi, più che mai, questa verità si conferma ess...

XSS.IS messo a tacere! Dentro l’inchiesta che ha spento uno dei bazar più temuti del cyber‑crime
Di Luca Stivali - 24/07/2025

Immagina di aprire, come ogni sera, il bookmark del tuo forum preferito per scovare nuove varianti di stealer o l’ennesimo pacchetto di credenziali fresche di breach. Invece della solita bachec...

Firefox 141: rilasciato un aggiornamento critico di Sicurezza
Di Redazione RHC - 24/07/2025

Il 22 luglio 2025, Mozilla ha rilasciato Firefox 141, un aggiornamento volto a migliorare la sicurezza del browser. Nell’ambito del Bollettino MFSA 2025-56, sono state risolte 18 vulnerabilit&#...

Iscriviti alla nostra newsletter

Iscriviti alla newsletter settimanale di Red Hot Cyber per restare sempre aggiornato sulle ultime novità in cybersecurity e tecnologia digitale.

 
Redhotcyber è un progetto di open-news nato nel 2019 e successivamente ampliato in una rete di persone che collaborano alla divulgazione di informazioni e temi incentrati la tecnologia, l'Information Technology e la sicurezza informatica, con lo scopo di accrescere i concetti di consapevolezza del rischio ad un numero sempre più crescente di persone.

PRINCIPALI CATEGORIE
Attacchi Informatici Italiani
Dark Web & Cybercrime
0day, bug e Vulnerabilità
Hacking
Cybersecurity Italia
Cyberpolitica & Intelligence

RISORSE
Academy
Rubriche
Il manifesto di Red Hot Cyber
Feed RSS
Contatti

Copyright @ REDHOTCYBER Srl
PIVA 17898011006