I ricercatori di cybersicurezza GuidePoint Security hanno scoperto un malware basato su Python che permette al ransomware RansomHub di sfruttare le falle della rete e sferrare l’attacco.
“L’attacco presenta diversi aspetti di interesse, cruciale il ruolo della backdoor Python per condurre movimenti laterali all’interno della rete compromessa sfruttando tunnel Sosck5“, commenta Pierluigi Paganini, analista di cyber security e CEO Cybhorus. Ecco come proteggersi.
Indice degli argomenti
RansomHub, il ransomware che sfrutta una backdoor basata su Python
Hanno descritto nel dettaglio un attacco che ha coinvolto un attore malevolo che ha usato una backdoor basata su Python per mantenere un accesso persistente agli endpoint compromessi e ha poi sfruttato questo accesso per distribuire il ransomware RansomHub in tutta la rete target.
“Attacchi che sfruttano malware di varia natura in campagne malware sono purtroppo frequenti”, continua Paganini: “Tool come LaZagne (per il furto delle credenziali) e EDRSilencer (per disabilitare le soluzioni di rilevamento) sono spesso utilizzati prima di lanciare il ransomware vero e proprio”.
Secondo GuidePoint Security, l’accesso iniziale sarebbe stato facilitato da un malware JavaScript scaricato con il nome di SocGholish (alias FakeUpdates), noto per usare la distribuzione tramite campagne drive-by che ingannano ignari utenti, spingendoli a effettuare download di falsi aggiornamenti del browser web.
Questi attacchi comportano comunemente l’uso di siti web legittimi ma infetti, a cui le vittime vengono reindirizzate dai risultati dei motori di ricerca grazie a tecniche di ottimizzazione dei motori di ricerca (SEO) di tipo black hat.
Dopo l’esecuzione, SocGholish stabilisce un contatto con un server controllato dall’aggressore per recuperare i payload secondari.
I dettagli
Già lo scorso anno, campagne di SocGholish hanno preso di mira siti WordPress che si affidavano a versioni non aggiornate di popolari plugin SEO come Yoast (CVE-2024-4984, punteggio CVSS: 6,4) e Rank Math PRO (CVE-2024-3665, punteggio CVSS: 6,4) per l’accesso iniziale.
Nell’incidente analizzato da GuidePoint Security, la backdoor Python è stata rilasciata circa 20 minuti dopo l’infezione iniziale tramite SocGholish. L’attore della minaccia ha poi proceduto a distribuire la backdoor ad altri computer situati nella stessa rete durante il movimento laterale tramite sessioni RDP.
“Funzionalmente, lo script è un reverse proxy che si connette a un indirizzo IP codificato. Una volta superato l’handshake iniziale di comando e controllo (C2), lo script stabilisce un tunnel fortemente basato sul protocollo SOCKS5”, ha dichiarato il ricercatore di sicurezza Andrew Nelson: “Questo tunnel consente all’attore delle minacce di muoversi lateralmente nella rete compromessa utilizzando il sistema vittima come proxy”.
Il rilevamento dello script Python, una cui precedente versione è stata documentata da ReliaQuest nel febbraio 2024, risale all’inizio di dicembre 2023. Intanto subiva “modifiche a livello superficiale” volte a migliorare i metodi di offuscamento utilizzati per evitare il rilevamento.
“Questa escalation di attacchi evidenzia la crescente complessità e la capacità di adattamento dei criminali informatici, che combinano tecniche di offuscamento avanzate, intelligenza artificiale per scrivere codice e metodi di social engineering per compromettere le vittime ed indurle al pagamento del riscatto”, sottolinea Paganini.
La campagna ransomware
GuidePoint ha osservato che lo script decodificato è lucido e ben scritto. Ciò indica che l’autore del malware è meticoloso nel mantenere un codice Python altamente leggibile e testabile. Oppure si affida a strumenti di intelligenza artificiale (AI) per assistere nel compito di codifica.
“Ad eccezione dell’offuscamento delle variabili locali, il codice è suddiviso in classi distinte con nomi di metodi e variabili altamente descrittivi”, ha aggiunto Nelson. “Ogni metodo ha anche un alto livello di gestione degli errori e messaggi di debug verbosi”.
La backdoor basata su Python è ben lontana dall’essere l’unico precursore negli attacchi ransomware. Come ha notato Halcyon all’inizio di questo mese, alcuni degli strumenti distribuiti prima della diffusione del ransomware comprendono quelli responsabili di:
- disabilitazione delle soluzioni EDR (Endpoint Detection and Response) con EDRSilencer e Backstab;
- furto delle credenziali utilizzando LaZagne;
- compromissione di account di posta elettronica mediante brute-forcing delle credenziali utilizzando MailBruter;
- mantenimento dell’accesso furtivo e consegna di payload aggiuntivi utilizzando Sirefef e Mediyes.
Inoltre, campagne di ransomware hanno preso di mira i bucket Amazon S3 sfruttando la Server-Side Encryption with Customer Provided Keys (SSE-C) di Amazon Web Services per criptare i dati delle vittime. L’attività è attribuita a un attore delle minacce soprannominato Codefinger.
“Nuove tecniche sono utilizzate nel panorama delle minacce come nel caso dei recenti attacchi alle aziende che usano AWS mediante l’utilizzo di processi di cifratura legittima le cui chiavi sono ottenute dagli attaccanti in maniera fraudolenta”, mette in guardia Paganini.
Oltre a impedire il recupero senza la chiave generata, gli attacchi sfruttano tattiche di riscatto urgente in cui i file vengono contrassegnati per l’eliminazione entro sette giorni tramite l’API S3 Object Lifecycle Management per spingere le vittime a pagare.
“L’attore della minaccia Codefinger abusa di chiavi AWS divulgate pubblicamente con permessi di scrittura e lettura di oggetti S3”, ha dichiarato Halcyon: “Utilizzando i servizi nativi di AWS, ottiene una crittografia sicura e irrecuperabile senza la loro collaborazione”.
Lo sviluppo arriva mentre SlashNext ha dichiarato di aver assistito a un’impennata di campagne di phishing “a tiro rapido”. Esse imitano la tecnica di bombardamento di email della gang del ransomware Black Basta per inondare le caselle di posta delle vittime con oltre 1.100 messaggi legittimi relativi a newsletter o avvisi di pagamento.
“Teniamo infine presente che alcune di queste tecniche sono utilizzate anche da attori nation state che usano l’estorsione per finalizzare le proprie attività o ransomware per finalità di sabotaggio“, avverte Paganini.
Lo schema finale d’attacco
Una volta che le persone si sentono sopraffatte, gli aggressori intervengono tramite telefonate o messaggi di Microsoft Teams. Si spacciano per l’assistenza tecnica dell’azienda e propongono “una semplice soluzione”.
“Parlano per guadagnare fiducia, inducendo gli utenti a installare software di accesso remoto come TeamViewer o AnyDesk. Una volta che il software è installato su un dispositivo, gli aggressori si introducono silenziosamente. Da lì, possono diffondere programmi malevoli o intrufolarsi in altre aree della rete, aprendosi la strada verso i dati sensibili”, conclude l’azienda.
Come proteggersi da RansomHub
La prima forma di difesa è la consapevolezza. Occorre evitare di scaricare software, browser o app fuori dai marketplace ufficiali.
Anche per difendersi dal Seo poisoning o black hat Seo, serve maggiore consapevolezza. Gli attaccanti, per ferrare i loro attacchi, prendono di mira la nostra tendenza a fidarci di ciò che vediamo sul display. Sfruttano le nostre emozioni per spingerci a cliccare su link malevoli.
Per proteggersi dall’avvelenamento dell’ottimizzazione per i motori di ricerca, e da attacchi sempre più diffusi, evasivi, sofisticati, perpetrati attraverso più canali, occorre puntare sulla formazione continua e simulazioni per rispondere con maggiore consapevolezza alle potenziali cyber minacce.
“Questo scenario sottolinea l’importanza di adottare soluzioni di cyber security sempre più robuste e di sensibilizzare gli utenti alle tecniche di ingegneria sociale impiegate dai malintenzionati”, conclude Paganini.
