RansomEXX torna a colpire in Italia: pubblicati 35 GB di dati rubati da uno studio di commercialisti. Cosa sappiamo di questo ransomware?
RansomEXX: colpita l’italiana Studio Bettuzzi e Partners. Online 35 GB di dati
Red Hot Cyber ha dato notizia della pubblicazione di circa 35 GB dati sottratti ad un’azienda italiana. La pubblicazione è avvenuta nel site leak del gruppo ransomware RansomEXX e i dati appartengono allo studio di commercialisti Bettuzzi & Partners.
Fonte: Red Hot Cyber
Analizzando l’archivio pubblicato, i redattori di Red Hot Cyber hanno scoperto che il complesso dei file è stato suddiviso in archivi da circa 500 MB circa, scaricabili liberamente dal leak site di RansomEXX.
Fonte: Red Hot Cyber
Il sito web aziendale invece due giorni fa risultava offline, oggi invece si presenta così
RansomEXX comunque non è affatto nuovo in Italia: sicuramente è divenuto famoso nel nostro paese per l’attacco contro la Regione Lazio, ma ha colpito anche la Ferrari e altre aziende di minor peso.
RansomEXX, conosciuto anche come RansomX o Defray 777, inizia ad operare nel 2018. Debutta come parte integrante in attacchi informatici a stadi diversi e mira, fin dai suoi esordi, ad aziende ed enti governativi di vari settori.
Tra il 2020 e il 2021 balza agli onori della cronaca per attacchi contro target di alto livello. Già abbiamo nominato la Regione Lazio, ma nel novero delle sue vittime ci sono anche Konica Minolta, il sistema di trasporto pubblico di Montreal, il Dipartimento dei Trasporti del Texas, la Corporacion Nacional de Telecomunicacion ecc…
Il gruppo che detiene la gestione dell’operazione ransomware si chiama Sprite Spider ed è specializzato nella fase post intrusione. Talvolta si avvalgono di credenziali di accesso remoto rubate / acquistate nel dark web. Ma gli attacchi di RansomEXX, in alcuni casi, sono stati preceduti dalla distribuzione di malware come IceID e TrickBot. D’altronde non è una novità: dei legami tra trickBot e i ransomware abbiamo già parlato qui.
Nel 2020 un report di Kaspersky rivela come RansomEXX si sia dotato di una versione capace di criptare i sistemi Linux. Da quel momento il gruppo ha iniziato a prendere di mira anche i server Linux.
Qualche info tecnica
RansomEXX è a tutto e per tutto un RaaS (Ransomware as a service). Ha adottato questo modello fin dal suo debutto. Conta insomma su una rete di affiliati che, per quanto non paragonabile ad altri RaaS come Conti o LockBit, gli ha comunque permesso di restare tra i “top cyber threat”. Ha una particolarità: il gruppo che lo gestisce è noto per le capacità di evadere o eludere i controlli di sicurezza di endpoint e reti, anche i sistemi più avanzati.
Infatti capita assai spesso chye l’unico payload che risulta scritto sul disco del dispositivo infetto, sia Vatet, un loader capace di eseguire shellcode personalizzate. Talvolta però ha usato anche il noto Cobal Strike oppure PyXie per scaricare ed eseguire payload i 2° o 3° fase, per eseguire movimenti laterali, per ottenere la persistenza sui sistemi ecc… Non solo: gli attaccanti spesso fanno trascorrere tra uno e tre giorni per il rilascio del payload finale, rendendo ancora più complesso avere chiaro cosa succeda nella rete bersaglio.
Tendendialmente comunque, una volta ottenuto il primo accesso, mirano principalmente alla ricerca di credenziali privilegiate per ottenere l’accesso amministrativo sull’ Active Directory. L’esfiltrazione di credenziali riguarda anche quelle di sistemi partner o per l’accesso a servizi di terze parti.
La catena di infezione di RansomEXX. Fonte: Trendmicro
Il payload finale non è sempre lo stesso. Nella quasi totalità dei casi analizzati, il payload distribuito viene personalizzato ed è unico e specifico per ciascuna vittima. L’algoritmo di criptazione in uso è AES-256. La chiave AES viene poi criptata usando una chiave pubblica RSA-4096.
Può interrompere molti processi (ad esempio powershell.exe, rundll32.exe,explorer.exe ecc…) senza però impedire al sistema di funzionare. Esegue anche specifici comandi per interagire con l’infrastruttura bersaglio, in base a quali tecniche riducono al massimo la visibilità delle azioni dannose sul sistema. Ecco perché spesso i sistemi EDR notano l’infezione quando i file sono già stati criptati. Tra le altre cose, impedisce il ripristino del sistema e il ripristino dei file. Senza backup, insomma, non c’è scampo.
RansomEXX e la variante per Linux
Nel 2020 viene individuata la versione per Linux di RansomExx. In questo caso, gli attaccanti distribuiscono per prima cosa un eseguibile ELF, solitamente chiamato “svc_new”. Questo eseguibile è responsabile della criptazione del server.
Integrata in questo eseguibile troviamo la chiave pubblica RSA-4096, la nota di riscatto ecc…
Fonte: Kaspersky
Va detto che, a differenza della versione Windows, quella Linux è elementare. Non contiene codice utile a terminare processi, non fa il wipe dello spazio libero, non comunica neppure con un server di comando e controllo.
Proteggersi dai ransomware: step basilari
Premettendo che la sicurezza informatica al 100% non esiste e che gli strumenti, le soluzioni e la postura difensiva variano da azienda ad azienda, da rete a rete, i punti sottostanti sono il minimo indispensabile per raggiungere un livello accettabile di sicurezza informatica.
Predisponi un piano di backup: è fondamentale dotarsi di soluzioni di backup e di organizzarsi per eseguire backup di tutti i dati a cadenza regolare. I backup stessi andranno testati regolarmente, per verificare che i dati siano integri. Disporre di backup integri e il più recenti possibile consente di minimizzare la perdita dei dati e accelerare i processi di rispristino. E’ fondamentale isolare dalla rete i backup critici per evitare che, in caso di attacco ransomware, finiscano criptati anche i backup. A tale scopo, ti consigliamo di valutare la nostra soluzione Strongbox Cloud PRO, appositamente pensata per le PMI.
Mantieni sempre aggiornato il sistema operativo, i software e gli applicativi in uso: le vulnerabilità sono le porte di accesso che consentono agli attaccanti di accedere alle reti. Verifica che questi software siano sempre aggiornati all’ultima versione disponibile ed installa le patch consigliate dal vendor. La suite di soluzioni di sicurezza aziendali Seqrite ha funzionalità specifiche a tale scopo: dalla gestione centralizzata delle patch alla scansione delle vulnerabilità.
Adotta l’approccio zero trust: applica il principio del “privilegio minimo” per tutti gli utenti: imposta cioè, utente per utente, solo le permissioni che gli sono effettivamente necessarie per svolgere le proprie mansioni. Fai si che ogni utente possa accedere soltanto alle informazioni che gli sono indispensabili.Per approfondire > Approccio di cybersecurity Zero Trust: perchè, come e quanto è importante per le aziende con forza lavoro remota
Evita di scaricare file o cliccare su link contenuti nelle email: spesso l’accesso alle reti da parte degli attaccanti non avviene tramite sofisticate tecniche di attacco, ma anzi l’attaccante fa breccia nel punto più debole della catena della cyber sicurezza: l’utente. E’ fondamentale non fare click su link né scaricare allegati contenuti in email inaspettate, sospette, improvvise. Infine non abilitare mai le macro contenute nei documenti circolanti via email, a meno che non ci sia l’assoluta certezza della legittimità della comunicazione.Per Approfondire > Attacchi basati sulle macro di Office: come funzionano? Breve vademecum
Forma i dipendenti, i collaboratori e chiunque acceda alla rete: come detto, l’anello debole della catena di cyber sicurezza e sicurezza dei dati è l’utente. Forma dipendenti e collaboratori, rendili partecipi dei protocolli di sicurezza e consapevoli e sensibili rispetto ai rischi, almeno quelli più diffusi. Stabilisci un protocollo di reazione in caso di incidente informatico, così che tutti sappiano cosa fare in caso dovesse verificarsi un attacco ransomware.
Non esporre mai direttamente in internet le connessioni Remote Desktop Protocol. Se proprio hai necessità di usare l’RDP, fallo sempre tramite una VPN.
Implementa un modello di sicurezza stratificato (multi livello) nella scelta di un approccio stratificato alla sicurezza, consigliamo di valutare attentamente: > sicurezza delle reti e dei server; > gestione degli endpoint; > gestione dei dispositivi mobile.Per approfondire > Implementa un modello di sicurezza stratificato con Seqrite!
Implementa sistemi di protezione preventiva: come l’Intrusion Prevention Sistem (IPS) e il Web Application Firewall. Saranno utili protezioni perimetrali, se posti a difesa dei servizi esposti su Internet.
L’approccio Zero Trust si è affermato, negli ultimi anni, come il nuovo standard della sicurezza informatica. Con questo modello di sicurezza, le aziende possono proteggere dati e risorse.
Come funziona l’approccio Zero Trust
L’approccio Zero Trust si basa sulla premessa che non esista alcuna zona sicura all’interno dell’infrastruttura IT di un’organizzazione. Ne consegue la necessità che ogni singolo accesso, sia da parte di un utente interno che da parte di un utente esterno, debba essere verificato e autorizzato in modo esplicito e continuo. In altre parole, ogni richiesta di accesso a dati e risorse deve essere valutata in base al contesto, ad esempio alla luce dell’identità dell’utente, del dispositivo utilizzato e della tipologia di dati a cui si sta cercando di accedere.
Per implementare l’approccio Zero Trust, le organizzazioni devono adottare una serie di misure di sicurezza avanzate, come l’autenticazione multi fattore (MFA), la criptazione dei dati e il monitoraggio costante dell’infrastruttura IT. A questi provvedimenti di natura tecnica devono essere affiancate chiare policy di sicurezza e la formazione dei dipendenti.
Google capofila, implementa lo zero trust già nel 2017
Una delle aziende che, per prima, ha scelto questo modello è stata Google. Google ha optato per lo zero trust già nel 2017, anno in cui ha implementato tale modello a protezione della propria infrastruttura e dei propri servizi. Hanno chiamato questa implementazione “BeyondCorp” e l’hanno basata su un principio semplice e molto chiaro:
“mai fidarsi, verificare sempre”.
BeyondCorp è progettato per fornire un accesso sicuro a applicativi e servizi Google da reti e dispositivi non attendibili senza fare affidamento sulla VPN tradizionale.
In questo caso i principi cardine sono:
certificato di affidabilità di dispositivi e utenti utilizzati per autenticare prima di concedere l’accesso alle risorse.
politiche di controllo degli accessi che sono state definite secondo le mansioni e le necessità collegate al ruolo dell’utente entro l’organizzazione.
uso di proxy utilizzati per garantire la sicurezza della connessione.
Perchè le aziende dovrebbero implementare questo modello?
Le aziende dovrebbero implementare il modello di sicurezza zero trust perché fornisce un approccio più completo e sicuro rispetto ai tradizionali modelli di sicurezza basati sulla “fiducia implicita“. È progettato infatti per proteggere le risorse aziendali da minacce interne ed esterne, senza fare affidamento sulla posizione o sulla fonte di una richiesta di accesso.
Ci sono diverse ragioni per cui le aziende dovrebbero adottare l’approccio zero trust:
Maggiore sicurezza: il modello di sicurezza zero trust adotta un approccio granulare, in cui ogni richiesta di accesso viene verificata e autorizzata in base a criteri di sicurezza. Ciò riduce il rischio di violazioni della sicurezza causate da attacchi interni o esterni.
Flessibilità: il modello di sicurezza zero trust consente alle aziende di abilitare l’accesso remoto ai propri dipendenti e partner in modo sicuro. Ciò significa che i dipendenti possono accedere alle risorse aziendali da qualsiasi luogo e dispositivo, rendendo più facile e conveniente il lavoro in remoto.
Conformità: l’approccio zero trust consente alle aziende di conformarsi alle normative di sicurezza, come ad esempio il GDPR. Ciò è particolarmente importante per le aziende che gestiscono dati sensibili dei clienti o dei dipendenti.
Un esempio concreto di applicazione del modello zero trust è quello di un’azienda che implementa l’autenticazione multi fattore (MFA) per tutti i suoi dipendenti. Ciò significa che ogni volta che un dipendente accede alle risorse aziendali, deve prima fornire due o più fattori di autenticazione, come ad esempio una password e un codice generato da un’applicazione di autenticazione. In questo modo, anche se un malintenzionato riesce ad ottenere le credenziali di accesso del dipendente, non sarà in grado di accedere alle risorse aziendali senza fornire anche il secondo fattore di autenticazione.
ZeroTrust: per l’NSA statunitense e Microsoft sostengono questo è il modello di sicurezza più efficiente per difendersi dalle cyber minacce complesse di oggi.
Zerotrust: storia di un modello di sicurezza
Il concetto non è nuovo e ruota attorno al presupposto che un intruso potrebbe già essere presente nella tua rete. Ne consegue che i dispositivi e le connessioni non dovrebbero essere mai considerati attendibili in modo implicito. Di conseguenza, è necessario verificarne sempre la sicurezza e l’autenticità.
Questo modello deve i natali a a John Kindervag che ha coniato il termine ZeroTrust nel 2010. In realtà si inizia a parlare di modello Zero Trust, anche se con altro nome, già negli anni 2000. Il salto avviene nel 2009 quando Google ha implementato internamente il modello di sicurezza Zero Trust. Poi il dibattito è, ovviamente, ritornato molto vivo sulla scia del ormai famoso e infausto attacco alla supply-chain di SolarWinds, in conseguenza del quale si è riaccesa la discussione sui benefici di una architettura di sicurezza Zero Trust per reti sensibili.
Il Presidente di Microsoft Brad Smith ha sostenuto il modello ZeroTrust addirittura nel corso dell’udienza che ha sostenuto presso il Senato degli Stati Uniti in relazione all’attacco SolarWind, ribadendo come tale concetto rappresenti il miglior approccio possibile per una organizzazione o per un ente al fine di garantire la sicurezza delle proprie reti.
“Le migliori e più basilari pratiche di sicurezza e igiene informatica non erano purtroppo utilizzate con la regolarità e disciplina che ci aspetteremmo da clienti di alto profilo come le agenzie di sicurezza. Nella maggior parte dei casi non erano presenti né l’autenticazione a più fattori né la modulazione dei privilegi di accesso secondo necessità né altri meccanismi che sono requisiti fondamentali per costruire un ambiente Zero Trust. Eppure la nostra esperienza e i nostri dati suggeriscono senza dubbio che se tali misure fossero state in atto, gli aggressori avrebbero avuto soltanto un limitato impatto rispetto alla compromissione di dati preziosi, anche dopo aver ottenuto l’accesso agli ambienti di lavoro dell’agenzia” ha dichiarato Smith.
Insomma, pare proprio che l’attacco SolarWind abbia scosso le acque in profondità e adesso sia Microsoft che l’NSA raccomandano il modello di sicurezza Zero Trust per reti critiche (sistemi di sicurezza nazionale, dipartimento della difesa ecc…) e grandi imprese.
Zero Trust è un progetto a lungo termine
I principi cardine di questo modello sono
la costante verifica dell’autenticazione e autorizzazione degli utenti,
l’accesso con privilegi minimi,
l’accesso segmentato secondo rete, utente, dispositivo e app.
Clicca sull’immagine per ingrandirla. Fonte: Microsoft.com
Il diagramma sopra mostra la sicurezza Zero Trust secondo Microsoft, che vede al centro la verifica in tempo reale dell’applicazione delle policy di sicurezza. Nel modello, l’accesso a dati, app, infrastruttura e reti è concesso solo dopo aver verificato e autenticato l’identità e riscontrata la sicurezza dei dispositivi. Comprendere e verificare come gli utenti, i processi, i dispositivi si relazionano coi dati è lo scopo fondamentale di Zero Trust, ha dichiarato anche l’NSA.
Ecco che si rendono necessarie più unità di osservazione che garantiscano la possibilità di fare un accurato quadro delle attività sulla rete. Solo così sarà possibile valutarne la legittimità e quindi prevenire eventuali movimenti laterali che un cyber attaccante potrebbe tentare per diffondersi lungo la rete target. Tali verifiche sono possibili grazie a combinazioni dei dati dell’utente e dei dispositivi con una serie di informazioni quali l’orario, la posizione, il comportamento mostrato… Tramite questi dati si può impostare un sistema sicuro capace di consentire o negare l’accesso a specifiche risorse a determinati utenti. La decisione viene quindi registrata in modo tale da poter essere riutilizzata anche in future analisi di attività sospette. L’intero processo di verifica va applicato ad ogni singola richiesta di accesso ad una risorsa aziendale, se si vuole che il modello sia coerente al suo interno e capace quindi, di garantire sicurezza.
“Zero Trust è un modello che implementa un monitoraggio completo della sicurezza: dai controlli di accesso granulari basati sul rischio all’automazione del sistema di sicurezza in maniera coordinata attraverso tutti gli aspetti dell’infrastruttura: tutto si concentra sulla protezione delle risorse critiche (i dati) in tempo reale entro un ambiente di rischio dinamico“
prosegue il documento dell’NSA.
Già da queste brevi righe introduttive si capisce come costruire un ambiente Zero Trust sia una attività di lungo periodo. La buona notizia è che tale transizione può essere incrementale. Inoltre è bene tenere a mente che riduce in ogni caso il rischio ad ogni nuovo passo. Infatti garantisce una vera e propria impennata della visibilità sulla rete e una migliorata capacità di risposta automatica nel tempo.
L’NSA, nel suo documento ha fornito tre diversi esempi, basati su incidenti di cyber sicurezza realmente accaduti. Presenta quindi i vantaggi che un approccio Zero Trust può portare alla sicurezza degli asset aziendali. Esempi che mostrano come l’attacco avrebbe potuto essere respinto se fosse stato attivo un modello Zero Trust.
Nel primo esempio, l’attaccante ha avuto accesso alla rete bersaglio da un dispositivo non autorizzato. Per farlo ha usato credenziali legittime rubate ad un dipendente con un livello di autenticazione sufficiente in un ambiente di sicurezza tradizionale. Nel secondo esempio la minaccia è interna o derivante da un attore che ha compromesso un dispositivo tramite exploit inviato tramite connessione dati mobile. In questo caso, nell’ambiente tradizionale, l’attore può enumerare i dispositivi in rete, aumentare i privilegi concessi e spostarsi lateralmente per trovare altri sistemi da attaccare.
Nel terzo esempio l’NSA disegna un tipico attacco alla supply-chain. Qui l’attore aggiunge codice dannoso ad dispositivo o ad un applicativo che l’azienda mantiene e aggiorna regolarmente seguendo le best practices di cyber security. In un ambiente Zero Trust il dispositivo o l’app compromessa non sarebbero in grado di comunicare con l’attaccante perché questo non sarebbe considerato attendibile per impostazione predefinita.
“I suoi privilegi di accesso ai dati sarebbero strettamente controllati, ridotti al minimo e monitorati; la segmentazione sarebbe rafforzata dalle policy; l’analisi verrebbe utilizzata per monitorare le attività anomale. Inoltre, anche nel caso in cui il dispositivo possa scaricare aggiornamenti per applicazioni firmate (dannose o meno), le connessioni di rete consentite ad un dispositivo in un modello Zero Day vedrebbero applicate policy di sicurezza basate sulla negazione degli accessi per impostazione predefinita: qualsiasi tentativo di connettersi ad indirizzi remoti per dialogare con un eventuale server C&C verrebbero molto probabilmente bloccati”
conclude l’NSA.
Fonte: National Security Agency
Certo, i problemi sono molti, primo tra tutti la resistenza interna alle organizzazioni rispetto a cambiamenti di questo tipo. D’altronde parliamo sempre di una riprogettazione completa del modello esistente di sicurezza. Utenti, amministratori, il management stesso dovrebbero, per prima cosa, adottare la stessa mentalità perché lo Zero Trust possa funzionare.
Formbook: il malware infostealer che ha scelto l’Italia
E’ un nome ricorrente: rimbalza in ognuno dei report che, settimanalmente, il CERT-AgiD pubblica ricostruendo e dettagliando le campagne dannose attive di settimana in settimana nel cyber spazio italiano. Parliamo di FormBook, un malware in diffusione da anni e che ha una funzionalità principale, ovvero quella di infostealer, furto informazioni e dati. E anche un cosiddetto “form grabber” quei malware pensati per rubare le informazioni che gli utenti inseriscono in form di login, di contatto e di pagamento.
E’ un malware as a service, ovvero un servizio malware online tramite il quale utenti malintenzionati possono affittare il malware e distribuirlo, gestendolo tramite la dashboard del servizio: si, proprio come fosse un servizio professionale ad abbonamento. Gli autori non vendono il malware in se, ma il suo pannello tramite il quale viene generato il file eseguibile.
Dashboard, prezzi, informazioni dal servizio FormBook. Fonte: www.fireeye.com
Formbook: dettagli tecnici
Il malware funziona per iniezione: inietta se stesso in vari processi di sistema e installa funzionalità per il log delle battiture sulla tastiera (keylogging), per il furto dei contenuti degli appunti, per estrarre dati dalle sessioni HTTP e HTTPS: comunica costantemente col proprio server di comando e controllo e riceve da esso comandi per eseguire funzionalità specifiche utili sulla macchina infetta, per avviare determinati processi, per spegnere o riavviare il sistema, per rubare cookie e password locali.
Una delle caratteristiche più interessanti di questo malware è la sua capacità di leggere il modulo di Windows ntdll.dll dal disco nella memoria e chiamarne direttamente le funzioni esportate, rendendo inefficaci il meccanismo di monitoraggio delle API e lo user-mode hooking. Una tecnica chiamata “Lagos Island method” che, stando a quando dichiarato dai suoi autori, deve il nome ad un rootkit omonimo).
E’ dotato anche di un metodo di persistenza che prevede un continuo cambio random di percorso, nome file, estensione del file e chiavi di registro usate per la persistenza stessa.
I processi di Formbook. Fonte: any.run
Le funzionalità principali
Come detto FormBook cerca di rubare dati, ma ad esempio non ha alcuna funzionalità che miri ai dati bancari: non è possibile cioè definirlo come banking malware. Le principali funzionalità sono:
keylogging;
monitoraggio degli appunti;
furto di dati dai form in HTTP / HTTPS / SPDY, HTTP2 e delle richieste di rete;
furto password dai browser e dai client email
screenshot.
Dal proprio server di comando e controllo, può ricevere ulteriori istruzioni tra le quali:
aggiornamento del bot sul sistema host;
download ed esecuzione di ulteriori file;
rimozione del bot dal sistema host;
esecuzione di comando tramite ShellExecute;
furto dei cookie del browser;
riavvio del sistema;
arresto del sistema;
download e estrazione di archivi .ZIP.
Infrastruttura: qualche dettaglio
I domini di comando e controllo (C2) sfruttano, in genere, domini di primo livello generici e poco diffusi come .site, .website, .tech, .online, info. Nelle campagne recenti, i domini usati sono stati tutti registrati utilizzando il servizio di protezione privacy WhoisGuard. Ogni server ha, in generale, ha installazioni del pannello multiple, cosa che potrebbe indicare che FormBook si basi sul modello affiliativo.
Informazioni di installazione
Il malware è un file RAR autoestraente che avvia un loader Autolt. Il loader compila ed esegue lo script Autolt, che decripta il file payload di FormBook, lo carica nella memoria, quindi lo esegue. Il malware a questo punto copia sé stesso in una nuova location. Se il malware p eseguito con alti privilegi di amministrazione, si copierà in una delle seguenti directories:
%ProgramFiles%
%CommonProgramFiles%
Se invece viene eseguito con privilegi normali, copia sé stesso in una delle seguenti directories:
%USERPROFILE%
%APPDATA%
%TEMP%
FormBook configura la persistenza in una delle seguenti location, a seconda dei privilegi coi quali viene eseguito:
Come ogni malware che si rispetti, anche FormBook è dotato di alcune accortezze per impedire a ricercatori ed analisti di “intrappolarlo” in qualche honeypot o debuggarlo, comprese ben 3 blacklist: una per i moduli, una per i processi e una per gli username.
Le campagne di distribuzione
Come stiamo vedendo in Italia ormai da mesi, FormBook viene distribuito tramite campagne email contenenti allegati dannosi di vario formato, ma i più comuni sono:
PDF contenente un link accorciato col servizio “tny.im”, che reindirizza ad un server che contiene il payload di FormBook;
allegati DOC e XLS, contenenti macro dannose che, se abilitate, eseguono il download del payload di FormBook;
allegati ZIP, RAR, ACE, ISO che contengono direttamente l’eseguibile di FormBook.
Il nuovo Ransomware ESXiArgs prende di mira i server VMware ESXi. Sfrutta la vulnerabilità CVE-2021-21974, corretta due anni fa. Cosa sappiamo per adesso
Gli alert dello CSIRT francese e dell’ACN Italiana: la CVE-2021-21974 sfruttata attivamente
I primi giorni di Febbraio sia il CERT francese che l’ACN hanno diramato alert avvisando le aziende di una massiccia campagna di scansione su server VMware ESXi esposti. IL CERT Francese, in dettaglio, ha avvisato che attaccanti sconosciuti stanno attivamente attaccando server VMware ESXi non patchati per distribuire un ransomware. La vulnerabilità in uso ha circa 2 anni e consente l’esecuzione di codice da remoto.
⚠️Alerte CERT-FR⚠️ CERTFR-2023-ALE-015 : Campagne d’exploitation d’une vulnérabilité affectant VMware ESXi (03 février 2023). https://t.co/KN6GDUdXcL
Dello stesso tenore l’alert dell’ACN, che ha avvisato come tramite Shodan, fosse in corso questa scansione massiva di server vulnerabili alla CVE-2021-21974. Questa vulnerabilità è una falla di sicurezza di OpenSLP che consente ad un utente non autenticato di ottenere la possibilità di eseguire codice dannoso da remoto tramite un attacco di scarso livello di complessità.
La conferma da parte di VMware è arrivata il 6 Febbraio: il vendor ha confermato la vulnerbailità sfruttata e ha sottolineato come non si tratti di una 0-day. La CVE-2021-21974 infatti è già stata risolta nel Febbraio 2021. In questa campagna la falla è stata sfruttata attraverso la porta OpenSLP(427) per distribuire un nuovo ransowmare, ESXiArgs.
Il vendor ha invitato gli utenti ad installare i più recenti aggiornamenti di ESXi e di disabilitare il servizio OpenSLP, che è stato comunque disabilitato di default a partire dal 2021.
La nuova operazione ransomware che ha colpito l’Europa (e non solo): ESXiArgs
Questa ondata di scansioni è stata seguita, come detto, da attacchi diretti verso quei server vulnerabili risultati esposti in Internet. Il provider cloud francese OVHcloud, che purtroppo ha subito l’infezione di alcuni server, ha per primo collegato questa ondata di attacchi contro i server VMware ESXi al ransomware Nevada. Col trascorrere dei giorni si è fatto chiaro che, invece, l’Europa si è trovata a fronteggiare una minaccia nuova, un nuovo ransomware. Nuova minaccia che, già al primo giorno di operazioni, ha criptato 120 server ESXi arrivando a 2.400 server infettati nel primo fine settimana.
A fronte di un buon numero di server criptati, risultano invece pochissimi riscatti pagati: la richiesta ammonta a circa 42.000 euro. Probabilmente ciò è stato influenzato dal fatto che un ricercatore di sicurezza, Eners Sonmez, ha pubblicato una guida che consente gli amministratori di ricostruire le proprie virtual machine e recuperare i dati in chiaro (la guida è disponibile qui. Non garantiamo l’efficacia di questa soluzione, la menzioniamo per dovere di completezza delle informazioni N.d.r).
Ransomware ESXiArgs: cosa sappiamo per adesso
Il ransomware EXSiArgs cripta i file con estensioni .vmxf, .vmx, .vmdk, .vmsd e .nvram, quindi crea un file .args con i metadata per ogni file criptato. La nota di riscatto è un file HTML chiamato “ransom.html” e “How to Restore Your Files.html“, ma alcune vittime hanno dichiarato di aver ritrovato sui sistemi colpiti una nota di riscatto in formato testuale
Fonte: Bleeping Computer
I tecnici della redazione di Bleeping Computer hanno potuto analiuzzare l’encryptor del ransomware. Sono così riusciti a ricostruire come sono condotti questi attacchi. Una volta ottenuto l’accesso al server, sono salvati nella cartella temp i file
ecrypt – l’eseguibile ELF dell’encryptor;
encrypt.sh – uno script shell che esegue una serie di azionji prima di eseguire l’ecryptor;
public.pem – la chiave pubblica RSA usata per criptate la chiave per criptare un file;
motd – la nota di riscatto in forma testuale sarà copiata in /etc/motd, così sarà mostrata al login. Il file originale del server sarà copiato in /etc/motd1;
index.html – è la nota di riscatto in formato HTML, che serve a sostituire la home page di VMware ESXi.
Ransomware ESXiArgs: qualche info tecnica
La bad news è che l’encryptor non mostra falle sfruttabili per violare l’algoritmo di criptazione. Interessante però è l’uso di Sosemanuk, un cifrario a flusso usato per generare le chiavi di criptazione. La chiave di criptazione privata non viene salvata, così gli attaccanti si assicurano che, senza chiave privata, la vittima non potrà ripristinare i file. Sosemanuk è usato molto raramente nel mondo ransomware e rimanda ad una precisa famiglia, quella di Babuk, il cui codice sorgente è trapelato online.
“L’uso dell’algoritmo Sosemanuk è piuttosto raro e di solito viene usato solo dai ransomware il cui codice deriva da Babuk (nella variante per ESXi). Potrebbe essere questo il caso, ma l’hanno modificato per usare RSA invece dell’implementazione Curve25519 di Babuk”.
L’encryptor è lanciato usando lo shell script encrypt.sh. Quando lanciato, lo script eseguirà i seguenti comandi per motidifcare il file di configurazione (.vmx) della macchina virtuale ESXi,così che le stringe ‘.vmdk’ e ‘.vswp’ sono modificate in ‘1.vmdk’ e ‘1.vswp’.
Fonte: Bleeping Computer
Lo script termina quindi tutte le virtual machine in esecuzione semplicemente forzando all’arresto tutti i processi che contengonmo la stinga wmx o simili. Quindi lo script userà il comando
per ottenere la lista dei volumi EXSi (in dettaglio cerchherà match con le seguenti estensioni .vmdk, .vmx, .vmxf, .vmsd, .vmsn, .vswp, .vmss, .nvram, .vmem. Quindi, per ogni file, lo script creerà un file “nomefile.args” nella stessa cartella. Quindi viene avviata la criptazione. Nella foto sotto la routine per creare i file .args e criptare i file
Fonte: Bleeping Computer
Infine lo script “ripulisce”il campo di battaglia. Cancellerà i log, una serie di linee da alcuni file come /var/spool/cron/crontabs/root e /bin/hostd-probe.sh (ecc…), quindi rimuoverà una bacldoor Python precedentemente installata in /store/packages/vmtools.py.
Ricorderete KIllNet, il gruppo di hacktivisti pro Russia nato in risposta all’IT Army Ucraina e che si è già contraddistinto per numerosi attacchi, principalmente DDoS (ma non solo) verso aziende ed enti governativi europei e statunitensi.
KillNet: ospedali statunitensi nel mirino degli attaccanti. Per fortuna solo con DDoS
Da qualche giorno il gruppo ha deciso di prendere di mira gli Stati Uniti, in dettaglio alcuni tra i principali ospedali statunitensi. L’ondata di attacchi è stata scatenata poche ore dopo che il Presidente Joe Biden ha confermato la volontà degli USA da rifornire l’esercito ucraino di tank. Sotto i colpi degli attacchi DDoS, sono finite strutture del calibro di Stanford Healthcare, Duke University Hospital, Cedars-Sinai, The The University of Michigan Hospital e molti altri. Tutti hanno lamentato problematiche relative ai propri siti web, alcuni finiti in down, ma anche ai propri portali di servizio.
L’ondata di attacchi è stata rivendicata da KillMilk in persona, colui che al momento ricopre il ruolo di portavoce / leader del gruppo KillNet. La rivendicazione è in inglese ed è una aperta minaccia all’occidente:
Fonte: Telegram Killnet
“Bene, che cosa c’è di sbagliato se i server delle istituzioni sanitarie dei vostri paesi viene attaccata? State fornendo le armi ai nazisti per uccidere il mio popolo. Ringraziateci per il fatto di non aver toccato, oggi, le reti sanitarie e che nessuno è morto in clinica, oggi. Ma domani potrei cambiare idea..[…]”
Alcuni invece, presentano ancora problematiche: sito ancora in down, problemi di protocolli di sicurezza, un loop infinito di redirect ecc…
Non solo Stati Uniti: nel mirino anche l’Olanda
E’ di poche ore fa la notizia di un attacco che ha colpito lo University Medical Center Groningen nei Paesi Bassi. Anche in questo caso, KillNet ha rivendicato l’attacco.
Il CERT olandese ne ha dato notizia poche ore dopo l’inizio dell’ondata di DDoS, dando per cera una prima vittima, ovvero l’ospedale di Gronigen, ma non ha escluso la possibilità che siano state colpite altre strutture. Anche in questo caso, comunque, si parla di DDoS, una tipologia di attacchi che non provoca gravi danni quanto più disagi temporanei.
Nel mentre, Killnet ha preso di mira anche il CERT olandese e ha messo in down il suo sito web.