C’è una novità per quanto riguarda il Ransomware As a Service LockBit: alcuni affiliati hanno iniziato ad utilizzare il malware Amadey Bot per distribuire il ransomware

Il malware Amadey Bot viaggia via email

I ricercatori di sicurezza lanciano l’allarme: affiliati del ransomware LockBit hanno iniziato ad utilizzare il malware Amadey Bot per distribuire il ransomware. Gli affiliati distribuiscono il malware tramite email di phishing personalizzate per le aziende target. Ad ora le campagne sono state di due tipi: false offerte di lavoro destinate ai dipendenti delle aziende target e presunte notifiche per violazione del copyright. 

Per saperne di più > Ransomware: LockBit 3.0 debutta anche in Italia

Amadey Bot è un malware piuttosto vecchio che presenta tre gruppi principali di funzionalità: 

  • riconoscimento del sistema bersaglio;
  • esfiltrazione dei dati;
  • loader di payload. 

I ricercatori hanno però notato come, dall’inizio del 2022, l’attività collegata a questo malware sia andata sempre più intensificandosi. Poi nel Luglio di quest’anno è stata intercettata in diffusione una nuova versione. Nella campagna di Luglio, Amadey ha funto da dropper di diversi malware per il furto dati, soprattutto RedLine. Poi la virata: le campagne recenti distribuiscono il payload di LockBit 3.0.

La catena di infezione

I ricercatori di AhnLab hanno analizzato le due campagne email con le quali viene distribuito Amadey al fine di utilizzarlo come primo accesso nella rete target per distribuire LockBit. 

Il primo caso è da “manuale del phishing”: l’email, una falsa offerta di lavoro destinata ai dipendenti dell’azienda bersaglio, allega un file Word contenente una macro VBA. La macro, se eseguita, crea un file LNK e lo salva in “C:\Users\Public\skem.lnk”. Questo file è il downloader di Amadey. 

Il downloader di Amadey.

Il secondo caso è simile, ma l’allegato email è direttamente un eseguibile chiamato “resume.exe” che però sfoggia l’icona di un documento Word per indurre l’utente a pensare che si tratti di un file Office. 

Indipendentemente dal percorso di infezione seguito, il malware utilizza lo stesso indirizzo di comando e controllo a riconferma che l’operatore che sta distribuendo e gestendo Amadey è lo stesso. 

Malware Amadey: info tecniche

Anzitutto qualche info sulla nuova versione. Non presenta grosse novità ma ha avuto un aggiornamento delle funzionalità di elusione delle individuazioni anti virus e di offuscamento: l’intrusione e il download del payload sono adesso molto più “silenziose”. Il funzionamento, per il resto, non è cambiato. 

Al primo lancio, il malware copia se stesso nella cartella TEMP e crea una task pianificata così ottiene la persistenza tra i riavvii di sistema. Il server C&C invia quindi i comandi per il download e l’esecuzione di LockBit, in formato PowerShell altamente offuscato o in formato EXE. 

Il PowerShell offuscato di LockBit. Fonte: AhnLab

I payload utilizzati in queste due campagne sono scaricati nella cartella TEMP e sono:

  • %TEMP%\1000018041\dd.ps1
  • %TEMP%\1000019041\cc.ps1
  • %TEMP%\1000020001\LBB.exe

Da questo momento LockBit inizierà a criptare i file.

Proteggersi dai ransomware: step basilari

  per dipendenti e Premettendo che la sicurezza informatica al 100% non esiste e che gli strumenti, le soluzioni e la postura difensiva variano da azienda ad azienda, da rete a rete, i punti sottostanti sono il minimo indispensabile per raggiungere un livello accettabile di sicurezza informatica.

 

    • Predisponi un piano di backup:
      è fondamentale dotarsi di soluzioni di backup e di organizzarsi per eseguire backup di tutti i dati a cadenza regolare. I backup stessi andranno testati regolarmente, per verificare che i dati siano integri. Disporre di backup integri e il più recenti possibile consente di minimizzare la perdita dei dati e accelerare i processi di rispristino. E’ fondamentale isolare dalla rete i backup critici per evitare che, in caso di attacco ransomware, finiscano criptati anche i backup. A tale scopo, ti consigliamo di valutare la nostra soluzione Strongbox Cloud PRO, appositamente pensata per le PMI.
    • Mantieni sempre aggiornato il sistema operativo, i software e gli applicativi in uso:
      le vulnerabilità sono le porte di accesso che consentono agli attaccanti di accedere alle reti. Verifica che questi software siano sempre aggiornati all’ultima versione disponibile ed installa le patch consigliate dal vendor. La suite di soluzioni di sicurezza aziendali Seqrite ha funzionalità specifiche a tale scopo: dalla gestione centralizzata delle patch alla scansione delle vulnerabilità.
    • Scegli una solida soluzione antivirus e mantienila sempre aggiornata:
      sempre più soluzioni antivirus si sono dotate di strumenti specifici per il contrasto agli attacchi ransomware. Scopri di più sulla funzionalità antiransomware di Quick Heal / Seqrite, tecnologia brevettata negli Stati Uniti.
    • Adotta l’approccio zero trust:
      applica il principio del “privilegio minimo” per tutti gli utenti: imposta cioè, utente per utente, solo le permissioni che gli sono effettivamente necessarie per svolgere le proprie mansioni. Fai si che ogni utente possa accedere soltanto alle informazioni che gli sono indispensabili. Per approfondire > Approccio di cybersecurity Zero Trust: perchè, come e quanto è importante per le aziende con forza lavoro remota
    • Evita di scaricare file o cliccare su link contenuti nelle email:
      spesso l’accesso alle reti da parte degli attaccanti non avviene tramite sofisticate tecniche di attacco, ma anzi l’attaccante fa breccia nel punto più debole della catena della cyber sicurezza: l’utente. E’ fondamentale non fare click su link né scaricare allegati contenuti in email inaspettate, sospette, improvvise. Infine non abilitare mai le macro contenute nei documenti circolanti via email, a meno che non ci sia l’assoluta certezza della legittimità della comunicazione. Per Approfondire > Attacchi basati sulle macro di Office: come funzionano? Breve vademecum
    • Forma i dipendenti, i collaboratori e chiunque acceda alla rete:
      come detto, l’anello debole della catena di cyber sicurezza e sicurezza dei dati è l’utente. Forma dipendenti e collaboratori, rendili partecipi dei protocolli di sicurezza e consapevoli e sensibili rispetto ai rischi, almeno quelli più diffusi. Stabilisci un protocollo di reazione in caso di incidente informatico, così che tutti sappiano cosa fare in caso dovesse verificarsi un attacco ransomware. Scopri i corsi di sicurezza informatica per dipendenti e collaboratori di GDPRlab!
    • Non esporre mai direttamente in internet le connessioni Remote Desktop Protocol. Se proprio hai necessità di usare l’RDP, fallo sempre tramite una VPN.
    • Implementa un modello di sicurezza stratificato (multi livello)
      nella scelta di un approccio stratificato alla sicurezza, consigliamo di valutare attentamente:
      > sicurezza delle reti e dei server;
      > gestione degli endpoint;
      > gestione dei dispositivi mobile.
      Per approfondireImplementa un modello di sicurezza stratificato con Seqrite!
    • Implementa sistemi di protezione preventiva:
      come l’Intrusion Prevention Sistem (IPS) e il Web Application Firewall. Saranno utili protezioni perimetrali, se posti a difesa dei servizi esposti su Internet.