Virgin Hacked? Sul leak site del gruppo ransomware Clop compare, tra gli altri, il gruppo Virgin. Al momento non divulgati file rubati
Ransomware Clop aggiorna la lista con 30 nuove vittime
E’ successo tutto nel corso della giornata di ieri, 23 Marzo: il gruppo ransomware Clop ha aggiunto ben 30 nomi alla lista delle proprie vittime. Tra i tanti nomi, uno spicca in particolare. Parliamo di Virgin, il noto gruppo di società di proprietà del magnate Richard Branson. Virgin è un nome che leghiamo immediatamente al mondo della musica, ma ormai il gruppo si occupa anche di voli aerei, aerospazio, viaggi, vendita al dettaglio ecc…
Fonte: Cl0p leak site
Secondo il leak site di Clop ransomware, le entrate della Virgin dovrebbero ammontare a 18 miliardi di dollari. Il dato è interessante perché, come abbiamo illustrato qui, capita spesso che i gruppi ransomware più avanzati colleghino l’ammontare del riscatto alle entrate dell’azienda.
Clop ransomware in breve
Cl0p è stato individuato in diffusione, la prima volta, nel 2019 come variante di CyrptoMix. Come tutti i gruppi ransomware avanzati, adotta la tecnica della doppia estorsi0ne: un riscatto per non pubblicare i file rubati, un riscatto per ottenere il decryptor e poter riportare in chiaro i file criptati. Infatti è dotato di funzionalità per l’esfiltrazione dei dati dalla rete bersaglio, prima dell’avvio della routine di criptazione.
Dopo un periodo di inattività, a cavallo tra il 2019 e il 2021, Cl0P torna alla carica e nel 2022 viene individuata anche la prima versione del ransomware per server Linux.
Di recente ha colpito anche in Italia: il sito Red Hot Cyber ha infatti individuato online la rivendicazione dell’attacco portato contro l’italiana Zucchetti Kos.
Una delle società del gruppo Virgin era stata colpita a Febbraio da un “major hack”
Virgin Media, in quell’occasione, rese pubblica una dichiarazione:
“Il nostro monitoraggio continuo della sicurezza ha permesso di identificare un tentativo non autorizzato di accedere ai nostrio sistemi negli ultimi giorni. A causa delle precauzioni implementate, ci saranno effetti temporanei sulla trasmissione di alcuni dei nostri programmi…
Prevediamo il ritorno alla normalità del servizio appena completato il processo di revisione e verifica”
Poco dopo l’azienda confermava di aver “completamente contenuto, isolato e terminato” l’attacco in corso.
Non sono poi circolate più informazioni relative a questo “major hack”, come fu definito dal Ministro delle comunicazioni e dell’economia circolare. Di conseguenza non sappiamo se la rivendicazione di Cl0P e questo breach, siano correlati. Non ci sono infatti, al momento, dichiarazioni da parte della Virgin. Non resta che attendere l’evolvere dei fatti, attendendo la pubblicazione ( se avverrà) del sample di dati rubati dal gruppo Cl0p dalle reti Virgin.
Aggiornamento del 24/03
Un portavoce di Virgin ha dichiarato a Bleeping Computer che il data breach ha riguardato soltanto Virgin Red.
“Siamo stati recentemente contattati da un gruppo ransomware che si fa chiamare Clop, il quale ha ottenuto illegalmente alcuni file Virgin Red grazie ad un cyber attacco su un nostro fornitore, GoAnywhere”
ha dichiarato il portavoce.
Proteggersi dai ransomware: step basilari
Premettendo che la sicurezza informatica al 100% non esiste e che gli strumenti, le soluzioni e la postura difensiva variano da azienda ad azienda, da rete a rete, i punti sottostanti sono il minimo indispensabile per raggiungere un livello accettabile di sicurezza informatica.
Predisponi un piano di backup: è fondamentale dotarsi di soluzioni di backup e di organizzarsi per eseguire backup di tutti i dati a cadenza regolare. I backup stessi andranno testati regolarmente, per verificare che i dati siano integri. Disporre di backup integri e il più recenti possibile consente di minimizzare la perdita dei dati e accelerare i processi di rispristino. E’ fondamentale isolare dalla rete i backup critici per evitare che, in caso di attacco ransomware, finiscano criptati anche i backup. A tale scopo, ti consigliamo di valutare la nostra soluzione Strongbox Cloud PRO, appositamente pensata per le PMI.
Mantieni sempre aggiornato il sistema operativo, i software e gli applicativi in uso: le vulnerabilità sono le porte di accesso che consentono agli attaccanti di accedere alle reti. Verifica che questi software siano sempre aggiornati all’ultima versione disponibile ed installa le patch consigliate dal vendor. La suite di soluzioni di sicurezza aziendali Seqrite ha funzionalità specifiche a tale scopo: dalla gestione centralizzata delle patch alla scansione delle vulnerabilità.
Adotta l’approccio zero trust: applica il principio del “privilegio minimo” per tutti gli utenti: imposta cioè, utente per utente, solo le permissioni che gli sono effettivamente necessarie per svolgere le proprie mansioni. Fai si che ogni utente possa accedere soltanto alle informazioni che gli sono indispensabili.Per approfondire > Approccio di cybersecurity Zero Trust: perchè, come e quanto è importante per le aziende con forza lavoro remota
Evita di scaricare file o cliccare su link contenuti nelle email: spesso l’accesso alle reti da parte degli attaccanti non avviene tramite sofisticate tecniche di attacco, ma anzi l’attaccante fa breccia nel punto più debole della catena della cyber sicurezza: l’utente. E’ fondamentale non fare click su link né scaricare allegati contenuti in email inaspettate, sospette, improvvise. Infine non abilitare mai le macro contenute nei documenti circolanti via email, a meno che non ci sia l’assoluta certezza della legittimità della comunicazione.Per Approfondire > Attacchi basati sulle macro di Office: come funzionano? Breve vademecum
Forma i dipendenti, i collaboratori e chiunque acceda alla rete: come detto, l’anello debole della catena di cyber sicurezza e sicurezza dei dati è l’utente. Forma dipendenti e collaboratori, rendili partecipi dei protocolli di sicurezza e consapevoli e sensibili rispetto ai rischi, almeno quelli più diffusi. Stabilisci un protocollo di reazione in caso di incidente informatico, così che tutti sappiano cosa fare in caso dovesse verificarsi un attacco ransomware.
Non esporre mai direttamente in internet le connessioni Remote Desktop Protocol. Se proprio hai necessità di usare l’RDP, fallo sempre tramite una VPN.
Implementa un modello di sicurezza stratificato (multi livello) nella scelta di un approccio stratificato alla sicurezza, consigliamo di valutare attentamente: > sicurezza delle reti e dei server; > gestione degli endpoint; > gestione dei dispositivi mobile.Per approfondire > Implementa un modello di sicurezza stratificato con Seqrite!
Implementa sistemi di protezione preventiva: come l’Intrusion Prevention Sistem (IPS) e il Web Application Firewall. Saranno utili protezioni perimetrali, se posti a difesa dei servizi esposti su Internet.
Ferrari Hacked: l’azienda di Maranello scopre un data breach. Ha già ricevuto una richiesta di riscatto e fatto sapere di non avere alcuna intenzione di pagare.
Ferrari Hacked: il Cavallino scopre un data breach
Ferrari ha scoperto di aver subito un data breach dopo aver ricevuto una richiesta di riscatto. Anonimi attaccanti sono riusciti a fare irruzione nei sistemi IT aziendali, quindi hanno avanzato la richiesta di riscatto per non pubblicare i dati.
“Siamo spiacenti di informarvi di un incidente informatico alla Ferrari, nel corso del quale un attore di minacce è stato in grado di accedere ad un numero limitato di sistemi nel nostro ambiente IT”
ha dichiarato Ferrari nella comunicazione ufficiale inviata ai clienti.
Quel che ancora non è chiaro e su cui Ferrari non ha fatto chiarezza è il tipo di attacco subito. Non è chiaro cioè se ci troviamo di fronte ad un attacco ransomware o ad un “semplice” tentativo di estorsione. L’azienda ha comunque fatto sapere di avere avviato un indagine in collaborazione con “una delle principali società di sicurezza informatica a livello mondiale”. Ma soprattutto ha ribadito che
“in linea con la policy aziendale, Ferrari non accoglierà nessuna richiesta di riscatto in quanto acconsentire a simili richieste finanzierebbe attività criminali e permetterebbe agli autori delle minacce di perpetuare i loro attacchi”.
L’attacco non ha interrotto l’operatività aziendale, ma ha esposto dati personali
Ferrari ha preso una serie di contromisure per mettere in sicurezza i sistemi compromessi e ha sottolineato come l’attacco non abbia avuto conseguenze né effetti sull’operatività aziendale. L’attacco ha però esposto i dati personali dei clienti. In dettaglio sono nelle mani degli attaccanti nomi e cognomi, indirizzi, indirizzi di posta elettronica e numeri di telefono.
La comunicazione inviata ai clienti sottolinea che, a seguito dell’indagine condotta, non risultano esposti dati di pagamento e/o coordinate di conti correnti bancari o altri servizi di pagamento. Anche i dati relativi a vetture Ferrari già vendute o in ordine sono al sicuro.
Sono trascorsi sei mesi dall’attacco di RansomExx
Nell’Ottobre 2022 il gruppo RansomEXX ha rivendicato un attacco sferrato con successo contro i sistemi di Ferrari SpA. La rivendicazione fu pubblicata sul leak site Tor del gruppo ed era accompagna da un sample dei file esfiltrati dalla rete IT. In dettaglio il sample era un documento riservato, su carta intestata societaria, risalente al 2005. Il gruppo ransomware rivendicava il furto di circa 7 GB di dati sensibili, la maggior parte documenti aziendali e manuali con dettagli tecnici. Non risultarono colpiti, in quel frangente, dati personali.
La Ferrari pochi giorni dopo, confermò all’agenzia Reuters che in effetti aveva rinvenuto pubblicati nel dark web una serie di documenti interni. Non ha però mai confermato di aver subito un attacco ransomware, meno che mai da parte di RansomEXX. A tutt’oggi non è chiaro se quei dati pubblicati fossero stati trafugati proprio dal sistema IT di Ferrari o da un fornitore di terze parti. In quegli stessi giorni infatti il gruppo specializzato in data breach Everest (li ricordate? Sono quelli che “bucarono” i sistemi SIAE) confermò l’attacco contro Speroni S.p.A fornitore di Ferrari.
Uno dei documenti pubblicati da RansomEXX. Fonte: Red Hot Cyber
In ogni caso gli esperti sono inclini a pensare che l’attacco subito recentemente da Ferrari sia diverso e non abbia legami con quello precedentemente subito ad opera di RansomEXX. Nel 2022 l’analisi dei sample pubblicati portò alla conferma del fatto che i dati esfiltrati erano principalmente tecnici, mentre il breach di questi giorni ha esposto dati personali dei clienti.
Aggiornamento h. 16.00 del 22/03
Il gruppo Ares, sul proprio canale Telegram, ha reso disponibili 7 GB i dati appartenenti a Ferrari. Il gruppo Ares è specializzato in data breach.
Pagamenti ransomware: come funzionano? Quali caratteristiche differenziano i vari gruppi le loro modalità di estorsione? Una ricostruzione con la lente della Data Science.
Applicare la data science al mondo dei ransomware
Trendmicro ha pubblicato un report molto interessante che tratta la questione ransomware da un punto di vista piuttosto originale. In una ricerca congiunta con Waratah Analytics, intitolata “What Decision-Makers Need to Know About Ransomware Risk“, gli esperti di Trend Micro hanno applicato la data science allo studio delle modalità e del fenomeno di pagamento dei ransomware.
Il punto, spiegano i ricercatori, è che i costi operativi e i modelli tramite cui i gruppi monetizzano gli attacchi ransomware possono rivelare molti dettagli. Analizzando dati di questo tipo infatti è possibile ricostruire tecniche di attacco, procedure, i metodi di persistenza ma anche le qualifiche dei vari membri. Inutile dire quanto un simile modello di analisi riesca a produrre (almeno potenzialmente) una serie di informazioni estremamente utili per difendersi. E se le risultanze di tali analisi finiscono integrate direttamente nelle strategie di difesa, diviene possibile (ripetiamo, almeno potenzialmente) difendersi anche da minacce sempre più sofisticate come i ransomware.
I gruppi ransomware profilano le vittime e calcolano l’ammontare del riscatto
Nel report gli scienziati tratteggiano, per cominciare, le modalità con cui viene calcolato il potenziale riscatto da richiedere alle vittime. Va detto che sono molteplici i fattori tenuti in considerazione per stabilire l’ammontare del riscatto da richiedere in fase iniziale e quanto richiedere invece in corso di negoziazione, fino a stabilire un minimo sotto il quale la negoziazione viene fatta saltare. Un dato è piuttosto ovvio: il fatturato.
I leak delle chat interne del gruppo ransomware Conti hanno permesso di ricostruire che il gruppo profilava le vittime e manteneva aggiornato il loro stato finanziario utilizzando le informazioni commerciali pubblicamente disponibili online. Non a caso il gruppo Conti aveva il suo dipartimento OSINT interno, un team deputato solo alla raccolta dati, alla profilazione e all’aggiornamento dello stato delle vittime.
La profilazione viene poi aggiornata in seguito all’attacco. Come si sa ormai, i gruppi ransomware precedono la fase di criptazione dei dati con quella dell’esfiltrazione. I dati vengono prima trasferiti verso altri storage controllati dagli attaccanti mentre le copie che restano sui sistemi colpiti vengono criptate. Questi dati sono una miniera di informazioni per gli attaccanti. Nel report di Trendmicro, ad esempio, è riportato come tali dati influiscano direttamente sulla trattativa tra vittima e attaccanti. Pensate ad un’azienda che, sotto ricatto, dichiara di non avere modo di pagare quanto richiesto dagli attaccanti. Immaginate ora che gli attaccanti abbiano nella propria disponibilità informazioni sufficienti sulla liquidità dell’azienda, sui contratti e altri dati finanziari rubati dalle vittime stesse, per poter stabilire se l’azienda stia mentendo o meno. E’ facile immaginare che gli aggressori decidano di vendicarsi pubblicando i dati della vittima o aumentando l’ammontare del riscatto.
Il modello di business scelto determina i costi operativi del ransomware
Ovviamente i gruppi ransomware hanno dei costi operativi da coprire, se vogliono ottenere un profitto e rendere effettivo il proprio modello di business. Alcuni gruppi richiedono un riscatto di ammontare fisso, uguale per tutte le vittime. Altri invece differenziano l’ammontare secondo il profilo dettagliato della vittima. Sapere come operano gli attaccanti e l’entità del riscatto può aiutare i team di sicurezza a distinguere le campagne ransomware mirate da quelle non mirate su uno specifico obiettivo. Distinzione assai importante dal momento che per evitare attacchi mirati saranno richieste specifiche strategie di difesa.
I costi operativi comunque, osservano i ricercatori, dipendono in larga parte dal modello di business scelto dagli attaccanti stessi. Se l’entità del riscatto è negoziabile, è probabile pensare che i costi sostenuti dagli attaccanti per progettare un attacco mirato saranno usati per stabilire una fascia minima, una cifra minima sotto il quale non si potrà scendere a patti.
Per i gruppi ransomware che adattano il riscatto alla dimensione della vittima, i ricercatori hanno osservato che il riscatto richiesto varia molto. A titolo esemplificativo citano il Ransomware as a Service Cerber
Fonte: Trendmicro
Dall’altro lato c’è DeadBolt, un gruppo ransomware che si concentra più sul numero di attacchi che su attacchi mirati. L’entità del riscatto, in questo caso, mostra poche variazioni
Fonte: Trendmicro
Gruppi come Cerber, insomma, impostano l’ammontare iniziale del riscatto e la soglia minima da imporre durante la trattativa basandola sulla singola vittima. Questo dipende dal fatto che un attacco mirato può richiedere personale e infrastrutture aggiuntivi, aumentano i costi da sostenere.
Pagamenti Ransomware: chi paga, paga molto velocemente
Uno dei casi studio presi in esame in questa ricerca ha mostrato un dettaglio molto importante. Più della metà delle vittime del ransomware DeadBolt ha ceduto alle richieste degli attaccanti entro 20 giorni, il 75% entro 40 giorni.
Fonte: Trendmicro
Anche il tempo di ripristino è quindi un fattore importante per le vittime, soprattutto di livello aziendale. E’ importante notare che è praticamente quasi scontato che il riscatto sarà pagato celermente in quei casi in cui vengono compromessi sistemi critici. Soprattutto se da questi sistemi dipendono direttamente gli introiti aziendali.
“Dando uno sguardo alla velocità con cui sono pagati i riscatti nei casi ransomware, la nostra ricerca dimostra che la criptazione dei dati in un cyber attacco avviene non molto tempo prima che queste transazioni siano rilevate nella blockchain. Questo tipo di dati può rivelarsi utile per i difensori quando correlano il pagamento del riscatto ai sample del ransomware o ai data breach”
si legge nel report.
Per concludere: l’importanza della Data Science e dell’analisi di varie fonti di dati
Insomma, analizzare varie fonti di dati, sfruttare i vantaggi della Data Science può fruttare importanti informazioni molto utili ai professionisti della sicurezza informatica. Ad esempio permette di ricostruire come opera un determinato gruppo e quale modello di business ha adottato.
“I nostri suggeriscono che i gruppi ransomware la cui strategia di monetizzazione prevede l’organizzazione di attacchi mirati hanno competenze, approcci, skill e capacità di attacco molto simili a quelli osservati per i gruppi APT (Advanced Persistent Threat). Per i team di sicurezza, il contrasto a questa tipologia di gruppi ransomware richiede risorse paragonabili a quelle di cui avrebbero bisogno in caso di attacchi portati da gruppo state-sponsored oppure in caso di un penetration test di portata essenzialmente illimitata”
Rapporto Clusit 2023: gli attacchi contro l’Italia sono aumentati del 169% rispetto al 2021. L’83% sono stati gravi. Scarsa capacità delle vittime di difendersi.
Rapporto Clusit 2023: la situazione nel mondo peggiora
Il Rapporto Clusit 2023 sarà presentato al Security summit la prossima settimana. Intanto, con una conferenza stampa, ne è stata resa pubblica un’anteprima che non lascia spazio a dubbi. Il 2022 ha visto un incremento importante dei cyber attacchi: sono stati registrati un totale di 2.489 incidenti di sicurezza classificati come gravi.
Gli attacchi informatici gravi sono stati 440 in più rispetto al 2021, una crescita del 21%. Il mese peggiore dal punto di vista delle individuazioni è stato Marzo, con un totale di 231 attacchi registrati. Un picco mai toccato prima.
I ricercatori del Clusit specificano comunque che questi pessimi dati sono solo la conferma di un trend ormai costante: dal 2018 al 2022 gli attacchi sono cresciti di oltre il 60%, determinando un generale peggioramento dello stato di sicurezza informatica nazionale e globale.
L’Italia sempre più esposta agli attacchi informatici
Anche il dato che riguarda il nostro paese non è positivo che si conferma un obiettivo sempre più colpito. Il 7,6% degli attacchi globali ha colpito il nostro paese: quasi il doppio rispetto al 3.4% nel 2021.
188 sono stati gli attacchi mirati contro l’Italia, con un incremento del 169% rispetto al 2021. Di questi l’83% è stato classificato come di gravità elevata o critica. Il settore governativo ha subito il maggior numero di attacchi (20%) seguito dal manifatturiero (19%).
Va detto che:
il 93% degli attacchi ha avuto finalità di mero cybercrime;
Il problema però, risiede nella scarsa difesa di capacità delle vittime, di difendersi.
Gli attacchi nel nostro paese vengono compiuti con tecniche quasi sempre standardizzate, ormai frutto dell’industria del cybercrime che è la matrice prevalente delle attività malevole. Questo conferma come l’aumento degli attacchi in Italia sia con-causato da forti limiti nella capacità di difesa delle vittime.
ha dichiarato Alessio Pennasilico, tra gli autori del Rapporto Clusit 2023 e membro del comitato scientifico di Clusit.
Le tecniche di attacco più usate
I dati del Clusit rivelano che il 37% degli attacchi globali è stato portato tramite malware. Seguono poi l’exploit di vulnerabilità e gli attacchi di phishing / ingegneria sociale. I malware invece in Italia pesano per il 53% degli attacchi complessivi, col grave problema che ben il 95% di queste tipologie di incidente determina impatto grave o gravissimo. Gli attacchi DDoS invece, nonostante il grande clamore intorno a KillNet, pesano solo per il 4% in Italia e sono addirittura in diminuzione rispetto al 2021.
Emotet torna in Italia: non si vedeva da 4 mesi, ora torna con una massiva campagna di distribuzione lanciata da Epoch4.
Emotet torna in Italia dopo 4 mesi di assenza
L’alert viene dal CERT, che ha individuato e analizzato una campagna di email di spam massiva e molto aggressiva, rivolta contro utenti italiani. Mancava da 4 mesi ma, evidentemente, Emotet si stava solo preparando per tornare a colpire. L’ultima attività in Italia era stata registrata nel “lontano” Novembre 2022. In quel caso il CERT aveva individuato e analizzato 16 campagne di diffusione lanciate da ben due delle botnet che compongono l’infrastruttura di Emotet, ovvero Epoch4 e Epoch 5.
Il grafico sotto mostra la distribuzione delle campagne Emotet in Italia dal 2020 al 2023.
La campagna in corso sfrutta conversazioni già avviate
La campagna odierna, in corso, è stata individuata e contrastata dal CERT. La campagna non ha un tema specifico, anzi, è ancora più insidiosa perché riprende conversazioni già avviate, “infilandovi” dentro un allegato ZIP dannoso.
In dettaglio, spiega il CERT, l’allegato ZIP è “CopiaFattura.zip” e contiene un file DOC di dimensioni insolitamente grandi: oltre 500 MB di peso.
Fonte: https://cert-agid.gov.it
Secondo gli esperti del CERT, le dimensioni insolite del file hanno uno scopo specifico, ovvero impedire all’utente di passare il file sulle sandbox online per analizzare l’allegato. Infatti i 500 MB sono raggiunti “artificialmente”: il file peserebbe solo 300 KB, la differenza è dovuta all’aggiunta di una serie di null byte fino ad arrivare ai 500MB.
Fonte: https://cert-agid.gov.it
Al di là del peso, l’arma di questo file DOC è la classica macro dannosa con un basso livello di offuscamento del codice. La macro ha il solo scopo di scaricare ulteriori file PE o ZIP ed eseguirli. Le URL per il download dei file, integrate in macro, sono offuscate. Sono testate una ad una finché non avviene il download del file richiesto. Ecco le dropurl deoffuscate:
Fonte: https://cert-agid.gov.it
In questo caso le URL rilasciano un file ZIP che contiene, a sua volta, una DLL di oltre 500 MB di peso. Anche questa presenta un peso eccessivo perché “arricchita” di null byte. La DLL viene poi eseguita tramite regsvr32. Deoffuscando la macro, la funzione oggetto dell’esecuzione di questa DLL si fa chiara:
Fonte: https://cert-agid.gov.it
I server C&C relativi a questa campagna sono 49 e fanno parte della botnet Emotet chiamata Epoch4.
Emotet in breve:
Emotet è un trojan modulare con capacità di auto propagazione. Può ottenere la persistenza sulla macchina infetta. E’ usato principalmente per il furto dati, ma anche per il riconoscimento delle reti, per eseguire movimenti laterali o per fungere da dropper di ulteriori payload dannosi. In particolare molto spesso è usato come ariete per la distribuzione di Cobal Strike o di ransomware. Al malware si lega una botnet che sta crescendo costantemente.
Ursnif è uno dei trojan bancari più longevi. Da qualche anno ha scelto l’Italia come “terra di conquista”. nel nostro paese è diffusione, con diverse campagne, a cadenza ormai settimanale.
Urnsif: breve cronistoria
Urnsif, conosciuto anche come Gozi, è tra i malware bancari più diffusi al mondo. Nonché tra i più longevi: le prime segnalazioni della sua “bozza primordiale” risalgono addirittura al 2007. Il suo codice sorgente è trapelato online nel 2015. Poco dopo è diventato pubblicamente disponibile su Github. In poco tempo nuovi autori malware hanno lavorato su quel codice, aggiungendo molteplici funzionalità.
Le funzionalità di cui è capace, la complessità del codice hanno portato gli addetti ai lavori, nel tempo, a non classificarlo più come mero trojan bancario ma come minaccia avanzata e persistente. Da qualche anno ha scelto l’Italia come campo di battaglia.
Nel solo 2021 ha colpito preso di mira i clienti di oltre 100 istituti bancari italiani. In quell’anno ha rubato oltre 1700 credenziali relative ad un solo elaboratore di pagamenti. Altre informazioni dettagliate sulla sua diffusione sono disponibili, con cadenza praticamente settimanale, nei bollettini del CERT-AGid. Il nostro paese infatti è riguardato da più campagne di diffusione a cadenza ormai settimanale.
Ursnif: funzionalità dannose
Veniamo alle domande più immediate: quali sono le funzionalità dannose di Ursnif? Che rischi corre un utente colpito da Urnsif?
La prima parte della risposta è scontata: Ursnif mira ai dati bancari, soprattutto le credenziali di accesso ai servizi di home banking, ma anche informazioni finanziare e altre credenziali di login. Non si limita però a questo. Ad esempio sottrae informazioni che riferiscono al dispositivo colpito: nome del dispositivo, sistema operativo, processi in esecuzione ecc…
Le funzionalità variano, le principali sono comunque, oltre a quelle già indicate:
furto di credenziali dai form web;
sottrazione dei certificati installati;
download ed esecuzione di alri software;
esecuzione di proxy server SOCKS;
keylogging;
cattura degli screenshot;
capacità di eseguire web injections.
Come si diffonde? Le campagne email “armate”
L’immagine sotto mostra la catena di infezione di Ursnif, che tendenzialmente si ripete con poche variazioni.
Fonte: trendmicro
Tutto inizia con la classica email con allegato Office. Il testo dell’email ha lo scopo di indurre l’utente ad aprire il documento. A questo scopo Urnsif utilizza infinite e diverse tecniche di ingegneria sociale, molto spesso imitando anche comunicazioni di enti pubblici o istituti di previdenza italiani, così come avvisi legittimi di importanti e noti istituti bancari. L’utente che apre l’allegato e abilta la macro è “fregato” e l’infezione si avvia.
Sotto tre paio di campagne di spam effettivamente distribuite al fine di diffondere Ursnif
Analizziamone una a titolo esemplificativo. La campagna in foto che abusa del nome dell’Agenzia delle Entrate non veicola allegati, ma presenta un link in corpo del messaggio. Il click su “Scarica il documento” avvia il download i un file HTA. Il file HTA è un tipo di file HTML che viene solitamente eseguito lato server e non dal web browser, ma è supportato da tutti i web browser dal momento in cui è stato introdotto HTML 5.
In questo caso gli attaccanti utilizzano certutil (l’utilità legittima e integrata in Windows per la gesione dei certificati digitali) per scaricare un eseguibile, in questo caso “scarica.exe”. Quell’eseguibile è Ursnif
Nella foto sotto il codice per il download dell’eseguibile tramite certutil
Fonte: Avast
Va detto comunque che le tecniche differiscono: sono stati osservati in uso anche file HTA che però utilizzano script PowerShell per scaricare librerie DLL da un URL “emebedded” per poi usare rundll32.exe per eseguire la DLL dannosa. In altri casi invece, Urnsif si diffonde con l’uso di macro contenente codice VBA ecc…
Urnsif: breve analisi tecnica
Ursnif è un malware modulare composto da diversi componenti e moduli, ognuno dei quali svolge una specifica funzione nell’attacco complessivo. Il componente principale di Ursnif è il downloader, che viene utilizzato per scaricare e installare il malware sul sistema della vittima. Il downloader è spesso distribuito tramite e-mail di phishing, exploit kit o siti web compromessi. Una volta che il downloader ha infettato il sistema, viene eseguito il dropper, che ha il compito di installare e attivare il malware. Il dropper può utilizzare varie tecniche per eludere le misure di sicurezza, ad esempio la crittografia del payload o la creazione di file temporanei.
Ursnif è altamente personalizzabile e i suoi creatori possono aggiungere o rimuovere moduli in base alle loro esigenze. Alcune delle altre parti del codice di Ursnif includono moduli di comunicazione, moduli di crittografia, moduli di autenticazione e moduli di controllo remoto.