Da aprile, milioni di e-mail di phishing sono state inviate attraverso la botnet Phorpiex per condurre una campagna ransomware di LockBit Black su larga scala. Si tratta di un volume mai visto dopo le campagne Emotet.
“La campagna attuale non è stata finora attribuita a un attore specifico dal Threat Research team di Proofpoint. Phorpiex è una botnet relativamente semplice, progettata per distribuire malware tramite campagne e-mail ad alto volume. Opera come Malware-as-a-Service e ha raccolto un ampio portfolio di clienti tra gli attori delle minacce in oltre un decennio di attività (le versioni precedenti sono state rilevate per la prima volta intorno al 2011)”, evidenzia Selena Larson, Staff Threat Researcher and Lead, Intelligence Analysis and Strategy di Proofpoint.
Come ha avvertito venerdì scorso il Cybersecurity and Communications Integration Cell (NJCCIC) del New Jersey, gli aggressori sfruttano allegati ZIP contenenti un eseguibile che distribuisce il payload LockBit Black. Una volta lanciato, cripta i sistemi dei destinatari.
“La campagna preoccupa gli esperti del NJCCIC per il volume di email inviato e per la finalità”, commenta Pierluigi Paganini, analista di cyber security e CEO Cybhorus, “ovvero la diffusione di uno dei ransomware tra i più attivi“.
“Questa campagna dimostra ancora una volta come non sia mai possibile dare per scontata la fine di una infrastruttura di attacco, come in questo caso la botnet Phorpiex, anche successivamente ad un presunto arresto delle operazioni da parte degli attaccanti o, ancora peggio, successivamente ad un takedown da parte delle forze dell’ordine”, aggiunge Paolo Passeri, Cyber Intelligence Principal di Netskope. Ecco come mitigare il rischio.
Indice degli argomenti
Ransomware LockBit Black: i dettagli dell’attacco via botnet
Il ransomware LockBit Black, distribuito in questi attacchi, è probabilmente frutto dell’utilizzo di LockBit 3.0, trapelato da uno sviluppatore scontento su Twitter nel settembre 2022. Tuttavia, si ritiene che questa campagna non abbia alcuna affiliazione con l’operazione di ransomware LockBit vera e propria.
“Anche dopo la fine delle operazioni malevole, la disponibilità del codice sorgente rende gli attaccanti in grado di creare nuove varianti adattate a nuovi scopi”, continua Paolo Passeri: “E in questo senso la campagna in oggetto è particolarmente illuminante: Phorpiex è stata riadattata per distribuire il ransomware LockBit, e curiosamente anche quest’ultima operazione ransomware ha dato alla luce molteplici varianti, a causa del leak del proprio builder, successivamente al takedown dell’operazione da parte delle forze dell’ordine”.
“A quanto pare il duro colpo inferto all’infrastruttura RaaS (Ransomware-as-a-Service) di LockBit e al gruppo stesso con diversi arresti, come le sanzioni a carico del presunto leader di LockBit, identificato nel cittadino russo Dmitry Yuryevich Khoroshev, recentemente imposte dall’Office of Foreign Assets Control (OFAC) del Dipartimento del Tesoro degli Stati Uniti, dall’Office of Financial Sanctions Implementation (OFSI) del Regno Unito e dal Dipartimento australiano degli affari esteri e del commercio (DFAT) per le sue attività fraudolente, non hanno ancora sortito l’effetto dovuto”, aggiunge Andrea Scattina, Country Manager Italy presso Stormshield: “LockBit non è fuori dai giochi, alimentando così i sospetti in merito ad un’eventuale protezione del gruppo da parte dello Stato russo“.
L’uso della botnet
“Elemento di rilievo della compagna è l’utilizzo della botnet“, mette in guardia Paganini, “che, attiva del 2016 seppur tra alti e bassi, continua a rappresentare un formidabile vettore per diverse tipologie di attacco“.
Le email di phishing hanno come oggetto “Il tuo documento” e “Una tua foto???”. I mittenti usano gli pseudonimi “Jenny Brown” o “Jenny Green” da oltre 1.500 indirizzi IP unici in tutto il mondo. “Proofpoint ha osservato un gruppo di attività che utilizza lo stesso alias ‘Jenny Green’ con esche relative a ‘Your Document’ e consegna di malware Phorpiex in campagne email almeno dal gennaio 2023”, conferma Selena Larson.
Fra questi spiccano Kazakistan, Uzbekistan, Iran, Russia e Cina. “La maggior parte degli indirizzi IP component la botnet sono infatti locati in Paesi in cui i governi si dimostrano poco collaborativi con le autorità occidentali, ragion per cui è complesso riuscire a smantellare questa botnet”, avverte Paganini.
“Il ransomware continua a ripresentarsi e a procacciare milioni di dollari che finiscono per finanziare svariate attività”, conferma Andrea Scattina: “Il caso della nuova ondata di ransomware denominato LockBit Black distribuito tramite botnet Phorpiex a partire da server collocati in Russia Kazakistan, Uzbekistan, Iran, Russia, Cina ed altri Paesi ne è solo un esempio e, per noi di Stormshield, un’ulteriore riprova di quanto la geopolitica influenzi la cybersecurity in questo particolare periodo storico“.
Il vettore d’attacco
La catena dell’attacco inizia quando il destinatario apre l’allegato dell’archivio ZIP malevolo ed esegue il file binario al suo interno. Questo eseguibile scarica quindi un campione del ransomware LockBit Black dall’infrastruttura della botnet Phorphiex e lo esegue sul sistema della vittima. La rete botnet, nota anche come Trik, è attiva da oltre un decennio. Si è evoluto da un worm che si diffondeva tramite memorie USB rimovibili e chat di Skype o Windows Live Messenger in un trojan controllato da IRC che sfruttava l’invio di spam via email.
“Dal 2018, abbiamo osservato la botnet mentre conduceva attività di esfiltrazione dei dati e consegna di ransomware. Nonostante gli sforzi di interruzione compiuti nel corso degli anni, la botnet persiste”, avverte Selena Larson.
Una volta lanciato, cercherà di rubare dati sensibili, terminare i servizi e criptare i file.
“Fortunatamente non si rilevano elementi di particolare complessità nelle tecniche di social engineering utilizzate dagli attaccanti”, evidenzia Paganini, “per questo motivo, sebbene il volume di email sia notevole, non corrisponde un numero di infezioni significative, almeno per il momento”.
Tuttavia la scoperta è importante. Infatti “il ransomware come payload di primo livello allegato a campagne di minacce via email non è un fenomeno che Proofpoint ha osservato in volumi elevati da prima del 2020”, continua Larson, “quindi un campione di LockBit Black nei dati delle minacce via email su questa scala globale è particolarmente insolito. Inoltre, questa campagna è stata degna di nota a causa dell’elevato volume di email , nell’ordine di milioni al giorno, non comunemente osservati. La quantità di messaggi e la cadenza associati alle recenti campagne LockBit Black portano a un volume mai visto dopo le campagne Emotet“, spiega Selena Larson.
Chi è nel mirino della campagna
Secondo Proofpoint, che sta indagando su questi attacchi spray-and-pray dal 24 aprile, gli attori della cyber minaccia prendono di mira aziende di vari settori verticali in tutto il mondo.
“Il creatore di LockBit Black ha fornito agli attori delle minacce accesso a ransomware proprietari e sofisticati. La combinazione con la rete botnet Phorpiex, esistente da tempo, ne amplifica la portata e aumenta le possibilità di successo degli attacchi ransomware. Questa campagna è un ulteriore esempio di come il panorama delle minacce continui a cambiare, in modo ricorrente e significativo, nelle tattiche, tecniche e procedure (TTP) utilizzate dagli attori delle minacce”, conclude Selena Larson.
Come proteggersi dal ransomware LockBit Black
Per difendersi dagli attacchi di phishing che spingono il ransomware, l’NJCCIC raccomanda di implementare strategie di mitigazione del rischio ransomware e di utilizzare soluzioni di sicurezza degli endpoint e filtri antispam per bloccare i messaggi potenzialmente malevoli.
“Gli attacchi – come vishing e phishing – che compromettono la sicurezza dell’identità, sfruttando l’innata curiosità umana”, aggiunge Massimo Carlotti, Sales Engineering Manager Italy di CyberArk, “sono quasi sempre stati il modo principale con cui i cybercriminali accedono ai dati sensibili”.
Per proteggersi, bisogna dunque aumentare la consapevolezza e proteggere anche le credenziali.
“Spesso, poiché login e password rappresentano tutti i livelli di autenticazione esistenti (senza l’ausilio dell’MFA a fornire ulteriore protezione), oppure le stesse credenziali sono utilizzate per molti account e possono fornire molteplici punti di accesso a un cyber attaccante, una semplice campagna di phishing può essere straordinariamente efficace“, sottolinea Massimo Carlotti.
Occorre adottare l’autenticazione MFA per blindare le credenziali.
“Una campagna ad alto volume che utilizzi la botnet Phorpiex avrà ottime probabilità di successo, non solo per accedere ai dati personali. Ma, a causa della duplicazione delle credenziali e della debolezza dell’autenticazione, fornirà agli attaccanti anche vie di accesso alle reti aziendali, mettendo dati e risorse a rischio di un attacco mirato”, ricorda Massimo Carlotti.
“L’implementazione delle best practice di sicurezza diventa ogni giorno più essenziale per prevenire (o almeno contenere) gli attacchi. Colmare queste lacune è una questione di primaria importanza e urgenza. Le tecnologie e le soluzioni sono disponibili sul mercato, perché aspettare che si verifichi un disastro?”, conclude con una domanda retorica Massimo Carlotti.
