Red Hot Cyber
Condividi la tua difesa. Incoraggia l'eccellenza. La vera forza della cybersecurity risiede nell'effetto moltiplicatore della conoscenza.
Come già anticipato nelle scorse settimane, l’Italia è stata interessata da una importante campagna volta a distribuire il malware Ursnif. Dall’inizio del mese di marzo ad oggi sono state osservate almeno quattro campagne, che hanno avuto come temi Agenzia delle Entrate e MISE/MEF e che si sono distinte per il loro considerevole volume.
Il CERT-AgID ha contribuito al contrasto di questa ondata condividendo i dati relativi agli specifici IoC tramite il suo apposito servizio e tramite post sui suoi canali social (Telegram e Twitter).
Il solo numero di indicatori individuati (più di 1200) rende l’idea della dimensione del fenomeno.
 Christmas Sale -40% 𝗖𝗵𝗿𝗶𝘀𝘁𝗺𝗮𝘀 𝗦𝗮𝗹𝗲! Sconto del 𝟰𝟬% 𝘀𝘂𝗹 𝗽𝗿𝗲𝘇𝘇𝗼 𝗱𝗶 𝗰𝗼𝗽𝗲𝗿𝘁𝗶𝗻𝗮 del Corso "Dark Web & Cyber Threat Intelligence" in modalità E-Learning sulla nostra Academy!🚀
Fino al 𝟯𝟭 𝗱𝗶 𝗗𝗶𝗰𝗲𝗺𝗯𝗿𝗲, prezzi pazzi alla Red Hot Cyber Academy. 𝗧𝘂𝘁𝘁𝗶 𝗶 𝗰𝗼𝗿𝘀𝗶 𝘀𝗰𝗼𝗻𝘁𝗮𝘁𝗶 𝗱𝗲𝗹 𝟰𝟬% 𝘀𝘂𝗹 𝗽𝗿𝗲𝘇𝘇𝗼 𝗱𝗶 𝗰𝗼𝗽𝗲𝗿𝘁𝗶𝗻𝗮.
Per beneficiare della promo sconto Christmas Sale, scrivici ad [email protected] o contattaci su Whatsapp al numero di telefono: 379 163 8765.
Se ti piacciono le novità e gli articoli riportati su di Red Hot Cyber, iscriviti immediatamente alla newsletter settimanale per non perdere nessun articolo. La newsletter generalmente viene inviata ai nostri lettori ad inizio settimana, indicativamente di lunedì. |
Ursnif è noto per variare spesso le sue TTP: la tecnica maggiormente sfruttata consiste nell’uso di un link dinamico di Firebase presente all’interno dell’e-mail per indirizzare la vittima verso una pagina di smistamento ospitata su un server compromesso da cui si viene poi indirizzati verso un file di tipo ZIP, anch’esso ospitato su un server compromesso, contenente il payload (un collegamento ad un eseguibile su una share pubblica).
Durante le azioni legate all’analisi e al contrasto del fenomeno è stato possibile recuperare alcune informazioni lasciate disponibili nelle pagine di smistamento. Queste sono localizzate su un unico server di backend dal quale sono state ricavate abbastanza liberamente informazioni sulle sue attività.
Questo tipo di informazioni ci hanno permesso di effettuare un’analisi più dettagliata sull’entità delle ondate di malware a cui abbiamo assistito.
I dati ritrovati contengono informazioni come indirizzo IP, User-Agent, data, ora, geolocalizzazione e classificazione dei dispositivi che hanno visitato la pagina di smistamento. Queste visite non corrispondono esattamente al numero di infezioni avvenute poichè un certo numero di vittime si ferma prima di aprire l’archivio ZIP e anche perchè una percentuale di visite proviene dai motori di ricerca e da strumenti automatici. Tuttavia osserveremo come vi sia un’evidente correlazione tra i picchi di visite ed i giorni in cui sono avvenute le campagne. Quanto di seguito riportato riguardano numeri relativi alle “visite” e non alle “infezioni”.
Al momento dell’analisi dei dati erano quasi 380.000 le visite alle pagine di smistamento. Il backend usato per indirizzare le vittime al payload è in grado di rilevare se la visita proviene da uno strumento automatico, ad esempio un motore di ricerca, per cui delle 380.000 visite solo 40.000 sono state classificate come provenienti da strumenti automatici.
[E’ disponibile una versione interattiva di questo grafico]
Due particolari risultano rilevanti in questo grafico:
Può risultare interessante provare ad usare una heatmap per evidenziare eventuali ricorrenze nelle TTP di Ursnif. In particolare, provare a disegnare una mappa dei giorni e delle ore più “calde”, ovvero con più visite:
[E’ disponibile una versione interattiva di questo grafico]
Si può notare come le campagne Ursnif siano pricipalmente concentrate nel mezzo della settimana (tra mercoledì e giovedì) ma lunedì 6 marzo Ursnif ha lanciato un’ulteriore campagna che ha prodotto notevoli risultati in termini di visite.
L’ora salvata nelle informazioni delle visite non è di facile interpretazione poichè non comprende il fuso orario. Ipotizzando che gli orari siano in UTC, la heatmap mostra che le visite siano raggruppate tutte nelle prima parte della giornata (l’Italia è un’ora avanti rispetto agli orari mostrati). Si evidenzia un picco nella notte tra il 6 ed il 7 marzo che non è di facile interpretazione, probabilmente dovuto a motori di ricerca o a spillover in altri Paesi.
È evidente, come si evince dai dati, che la campagna risulta mirata all’Italia ma solo poco più della metà delle visite è italiana. L’altra grande fetta è di lingua inglese. Probabilmente generata da strumenti automatici (sandbox) dato che si tratta di visite localizzate in specifici punti geografici anzichè essere distribuite più o meno uniformemente nei paesi anglofoni.
[E’ disponibile una versione interattiva di questo grafico]
A scopo puramente conoscitivo, può essere interessante classificare le visite in base al loro sistema operativo, browser e dispositivo utilizzato:
[E’ disponibile una versione interattiva di questo grafico]
Si nota che la maggior parte delle visite avviene da dispositivi in cui è presente il sistema operativo Windows, l’altra grande fetta riguarda i dispositivi mobili (Android, iOS) e solo in misura minore macOS e Linux (il meno usato di tutti). Questo, ancora una volta, spiega il perchè dell’ampia diffusione di malware per sistemi Windows rispetto ad altri sistemi operativi.
[E’ disponibile una versione interattiva di questo grafico]
I dati sui browser usati non inducono a particolari spunti ma riflettono più che altro le preferenze degli utenti.
[E’ disponibile una versione interattiva di questo grafico]
La maggior parte dei dispositivi che hanno visitato la pagina di smistamento erano quindi Personal Computer, in sintonia con il grafico dei sistemi operativi. La fetta di dispositivi mobili costituisce comunque quasi un 30% del totale anche se Ursnif non si è mai volutamente espanso al settore mobile.
E’ possibile raggruppare le visite per indirizzo IP, in modo da osservare quante volte un singolo indirizzo IP ha visitato una delle pagine di smistamento. Visite multiple si possono attribuire ai meccanismi di NAT o a connessioni condivise. Per rendere il grafico leggibile viene mostrato solo il numero di visite reiterate se sono presenti almeno 1000 IP diversi con tale numero.
[E’ disponibile una versione interattiva di questo grafico qui]
La maggior parte degli IP ha visitato le pagine una sola volta ma più di 20.000 IP le hanno visitate due volte e più di 2000 per ben 10 volte. Come già detto sopra, questo si può spiegare con connessioni o indirizzi condivisi (es: in caso di aziende o PA dietro sistemi indirizzati via NAT o dietro proxy, in cui due o più dipendenti visitino il link) o per via dell’utilizzo di strumenti di analisi/automatici.
Per concludere questa disamina, è sicuramente significativo mostrare sulla mappa le posizioni degli IP che hanno visitato le pagine di smistamento.
[E’ disponibile una versione interattiva di questo grafico]
È interessante osservare come le visite provenienti dagli Stati Uniti siano localizzate in punti specifici mentre quelle in Italia siano diffuse su tutto il territorio. Questo a conferma del fatto che le campagne sono state mirate pricipalmente per l’Italia.
Uno zoom specifico per l’Italia mostra in dettaglio il fenomeno:
Seguici su Google News, LinkedIn, Facebook e Instagram per ricevere aggiornamenti quotidiani sulla sicurezza informatica. Scrivici se desideri segnalarci notizie, approfondimenti o contributi da pubblicare.
Un nuovo e formidabile nemico è emerso nel panorama delle minacce informatiche: Kimwolf, una temibile botnet DDoS, sta avendo un impatto devastante sui dispositivi a livello mondiale. Le conseguenze ...
Ecco! Il 20 dicembre 1990, qualcosa di epocale successe al CERN di Ginevra. Tim Berners-Lee, un genio dell’informatica britannico, diede vita al primo sito web della storia. Si tratta di info.cern.c...
Una giuria federale del Distretto del Nebraska ha incriminato complessivamente 54 persone accusate di aver preso parte a una vasta operazione criminale basata sull’uso di malware per sottrarre milio...
Solo un anno fa, i medici non potevano dire con certezza se KJ Muldoon sarebbe sopravvissuto al suo primo anno di vita. Oggi sta muovendo i primi passi a casa, con la sua famiglia al suo fianco. Quest...
Una nuova vulnerabilità nei componenti FreeBSD responsabili della configurazione IPv6 consente l’esecuzione remota di codice arbitrario su un dispositivo situato sulla stessa rete locale dell’agg...
