Un nuovo attacco portato avanti dal gruppo criminale TA551, nel corso di una recente campagna, ha permesso di evidenziare nuove tattiche, tecniche e procedure (TTPs) relative al famoso malware IcedID.
Il worm, che risulta essere attivo in oltre 40 paesi, infetta le vittime e tenta di diffondersi in altri domini della loro organizzazione. Una volta raggiunto il secondo stadio, il worm crittografa i dati sul sistema locale e poi si autoelimina.
Indice degli argomenti
IcedID prende di mira Active Directory in meno di 24 ore
L’indagine su quest’ultima campagna è iniziata ad agosto scorso, quando Sophos ha investigato un incidente del proprio partner commerciale in Canada, risultato di un’intrusione sconosciuta che aveva compromesso una parte della loro rete. Dopo aver rintracciato l’incidente fino alla fonte, hanno scoperto che l’intruso aveva utilizzato il worm IcedID. Hanno anche scoperto che il malware era riuscito a infettare altri domini della loro organizzazione, incluso il loro dominio principale.
Tuttavia, un recente report di Cybereason sottolinea come, nel corso di questo ultimo periodo, le tecniche implementate dal famoso worm siano cambiate e le sue prestazione notevolmente migliorate.
In particolare, emerge la velocità di compromissione attuale di IcedID: il primo accesso viene garantito agli attori criminali in 19 ore dall’inizio dell’attacco. Così bastano circa due giorni per iniziare l’esfiltrazione di dati dall’infrastruttura della vittima compromessa (poco più di 50 ore).
Anche in questa nuova campagna, la catena di infezione non sembra cambiare nella sostanza. Siamo sempre di fronte a un file immagine in formato ISO contenuto in un archivio ZIP che culmina nell’esecuzione del payload IcedID.
Conquistato il punto di accesso iniziale, dunque, “l’aggressore ha seguito quello che sembrava essere un processo standard quando si trattava di movimento laterale. Il primo pivot su un’altra macchina osservato dal Cybereason GSOC è stato circa meno di un’ora dopo l’infezione iniziale”, evidenziano i ricercatori.
Tra le peculiarità di questa nuova campagna inoltre, si può notare la persistenza che viene garantita installando successivamente lo strumento AteraAgent RMM (strumento legittimo di amministrazione remota), sulle diverse macchine. In questa maniera gli attori malevoli possono assicurarsi una backdoor sempre attiva sull’infrastruttura della vittima, di loro proprietà.
Nel report vengono fornite anche alcune raccomandazioni utili a mitigare il rischio, imparando la lezione da questa campagna malevola. Una grande attenzione è sempre rivolta alle email di phishing, restano infatti il veicolo maggiormente utilizzato dai criminali, con allegati ZIP compromessi.
A questo si aggiunge un monitoraggio attivo degli utenti e dei loro ruoli all’interno dell’organizzazione con l’attribuzione dei giusti privilegi amministrativi. Inoltre, specificatamente per questa campagna IcedID, disabilitare l’automatismo del mounting sui file di immagine ISO (e altri).
L’impatto per le organizzazioni
A livello storico il danno causato dal worm IcedID è senza precedenti. Mentre molte organizzazioni saranno interessate dall’intrusione, le implicazioni finanziarie e legali potrebbero essere devastanti.
Le aziende interessate includono, a titolo esemplificativo ma non esaustivo, società di servizi legali, contabili e finanziari, nonché società del settore medico, farmaceutico e delle scienze della vita. Anche le banche e le società di carte di credito sono tra coloro che sono stati colpiti.
Non è un segreto che il crimine informatico abbia raggiunto livelli record. I costi annuali globali hanno raggiunto i 17,46 miliardi di dollari nel 2015, con un aumento del 44% rispetto all’anno precedente.
Nel 2022, i costi sono stimati a circa 26,77 miliardi di dollari. Anche il numero di attacchi informatici sta aumentando a un ritmo allarmante. Il numero di incidenti è aumentato del 41% nel 2021 rispetto all’anno precedente, secondo il NVDCP Computer Crime Log 2019.
