Il famigerato RIG Exploit Kit (RIG EK) sarebbe ancora ampiamente sfruttato dal cyber crime per infettare gli utenti aziendali tramite Internet Explorer che, sebbene sia stato sostituto da Microsoft Edge, risulta ancora utilizzato da milioni di dispositivi aziendali per tutti quei siti legacy (purtroppo ancora molti) ottimizzati solo per il vecchio browser Microsoft.
La scoperta è stata fatta dai ricercatori della società svizzera di sicurezza informatica Prodaft che, come riportato in un dettagliato rapporto, sono riusciti a ottenere l’accesso al pannello web del toolkit.
Indice degli argomenti
Come funzionano gli Exploit Kit
I kit di exploit (EK) sono tipicamente utilizzati per distribuire malware e codici arbitrari a un gran numero di vittime sfruttando le vulnerabilità esistenti nei browser di uso comune.
Una volta che un utente visita la landing page dell’exploit kit, vengono utilizzate diverse tecniche per identificare la versione del browser e il sistema operativo, informazioni con le quali il sistema sceglie un exploit adatto che potrebbe consentire l’esecuzione di comandi sul dispositivo della vittima e, nella maggior parte dei casi, per installare un malware.
Cos’è RIG Exploit Kit
Finanziariamente motivati, gli operatori di RIG EK hanno come obiettivo quello di ottenere l’accesso ai computer delle vittime per poi distribuire e vendere tale accesso ad altri attori criminali.
In particolare, i target sono prevalentemente macchine vulnerabili che eseguono versioni obsolete di Internet Explorer, rendendo più facile l’installazione di malware su di esse.
L’infezione può avvenire tramite malvertising, la visita di siti compromessi e senza particolari interazioni da parte dell’utente.
Il tool presente sul mercato e venduto come exploit as-a-service dal 2014 gestisce il software per la distribuzione degli exploit e raccoglie i dati delle vittime tramite un pannello di controllo chiamato RKIT.
Fonte: Prodaft.
Sebbene il suo codice sia stato trapelato nel 2015 e nel 2017 la sua infrastruttura sia stata smantellata a seguito di un’azione coordinata (Operation ShadowFall), RIG EK sarebbe recentemente riemerso continuando a distribuire a centinaia di vittime varie versioni e tipi di malware con una frequenza di aggiornamento dei campioni quasi giornaliera.
Le statistiche Prodaf mostrerebbero che la maggior parte dei malware distribuiti sarebbero Dridex il più comune (34%), seguito da SmokeLoader (26%), RaccoonStealer (20%), Zloader (2,5%), Truebot (1,8%) e IcedID (1,4%).
L’infrastruttura di RIG EK
Secondo quanto riportato nel rapporto gli operatori di RIG EK negli anni avrebbero modernizzato e modificato il suo codice senza modificarne l’infrastruttura che prevede l’attività di tre server principali:
- il Server VDS anche noto come Exploit Server, rileva il browser dell’utente analizzando l’intestazione “User-Agent”. Se la versione del browser corrisponde alle versioni predefinite dei browser vulnerabili, allora il server restituisce il codice di exploit suggerito crittografato con una versione personalizzata dell’algoritmo RC4;
- il server proxy, ovvero un reverse proxy dell’Exploit Server utilizza un protocollo pre-condiviso con il VDS per la serializzazione della richiesta HTTP con le informazioni del sito di riferimento e quindi per reindirizzare la risposta dell’Exploit Server al browser della vittima;
- il server API che si occupa di servire l’exploit all’interno di un iframe o di un under pop attraverso il server proxy.
Fonte: Prodaft.
Vulnerabilità, target e volume degli attacchi
Secondo l’analisi Prodaft le recenti campagne RIG EK avrebbero preso di mira una particolare vulnerabilità di corruzione della memoria con impatto su Internet Explorer (CVE-2021-26411, punteggio CVSS: 8.8) per distribuire RedLine Stealer.
Altre vulnerabilità includerebbero CVE-2013-2551, CVE-2014-6332, CVE-2015-0313, CVE-2015-2419, CVE-2016-0189, CVE-2018-8174, CVE-2019-0752 e CVE-2020-0674.
Fonte: Prodaft.
Prodaft afferma, inoltre, che sarebbero 207 i paesi presi di mira, lanciando una media di 2.000 attacchi al giorno e con un tasso di successo attuale del 30%, soprattutto dopo l’aggiunta di nuovi exploit al proprio arsenale (CVE-2021-26411 e CVE-2020-0674).
Come mostra la heatmap pubblicata nel rapporto i paesi più colpiti sarebbero Germania, Italia, Francia, Russia, Turchia, Arabia Saudita, Egitto, Algeria, Messico e Brasile.
Fonte: Prodaft.
Considerazioni finali
Prodaft conclude il suo rapporto rimarcando su quanto il kit di Exploit RIG rimanga a tutti gli effetti una minaccia significativa e concreta per le aziende e gli utenti finali che continuano a utilizzare software obsoleti, mettendo a rischio la privacy dei dati e la sicurezza dei propri sistemi.
Infatti anche se Microsoft ha ritirato Internet Explorer, reindirizzando gli utenti verso Microsoft Edge, finché esisterà la modalità IE e i siti legacy c’è poco da stare tranquilli.
