Due differenti campagne malspam stanno sfruttando i recenti attacchi ransomware che hanno coinvolto Kaseya contro la sua piattaforma VSA (Virtual System/Server Administrator) per diffondere file eseguibili insieme a link che si spacciano per finti aggiornamenti di sicurezza Microsoft, ma che in realtà rilasciano la backdoor CobaltStrike o il malware Dridex.
Indice degli argomenti
Finti aggiornamenti Kaseya: le campagne malspam in atto
Tutto ciò avviene mentre Kaseya si sta affrettando a ripristinare la versione SaaS del suo prodotto VSA colpito dalla banda criminale del ransomware REvil, senza non poche difficoltà che stanno ritardando di fatto il rilascio delle patch per la versione self-hosted di VSA (l’attacco, lo ricordiamo, ha coinvolto circa 60 clienti su 35.000 di Kaseya che utilizzano la versione on-premise della piattaforma, molti dei quali sono fornitori che erogano servizi terzi utilizzando VSA per gestire le reti di altre aziende).
Nel frattempo, i ricercatori del Malwarebytes Threat Intelligence hanno identificato due campagne malspam in atto che “sfruttano l’attacco ransomware Kaseya VSA per rilasciare CobalStrike. L’e-mail contiene un allegato chiamato “SecurityUpdates.exe” e un collegamento che finge di essere un aggiornamento di sicurezza di Microsoft per correggere la vulnerabilità di Kaseya”.
Così recita il post pubblicato dai ricercatori di sicurezza su Twitter e relativo alla diffusione della backdoor CobaltStrike. Nello stesso post i ricercatori hanno inserito anche lo screenshot di un campione dell’e-mail trappola e alcuni indici di compromissione:
- CobaltStrike Payload: 5de6ec9265f79a31a9845c8a504d28f0
- Download URL: http:// 45. 153. 241[.] 113/download/pload.exe
- CobaltStrike C2: 31.42.177[.]52
Un campione di e-mail truffa che invita a scaricare il finto aggiornamento Kaseya contenente la backdoor CobaltStrike.
L’e-mail diffusa dai criminali per indurre le potenziali vittime a scaricare il malware Dridex spacciandolo per un aggiornamento di Kaseya VSA.
Con questo stratagemma e usando il tono di urgenza tipico delle campagne malspam, i criminal hacker riescono a indurre le ignare vittime a dare seguito, in un modo o nell’altro, al falso aggiornamento di sicurezza sui propri dispositivi.
In realtà, procedendo con l’upgrade, non fanno altro che consentire agli attaccanti di ottenere un accesso remoto persistente e illecito ai sistemi target.
E il ritardo accumulato da Kaseya nel distribuire una correzione per lo zero-day di VSA, potrebbe involontariamente contribuire a fare cadere nel tranello molti dei propri clienti.
Uso illecito di CobaltStrike: nuova tendenza del cyber crime
CobaltStrike, lo ricordiamo, è uno strumento legittimo e disponibile in commercio utilizzato lecitamente dai penetration tester per verificare il livello di sicurezza delle infrastrutture IT.
Infatti, se usato legittimamente, consente di simulare uno scenario di attacco, ma purtroppo già da qualche tempo gli attori malevoli hanno capito come trasformare CobaltStrike in una arma per esfiltrare dati e distribuire malware di secondo livello che sfuggono al rilevamento.
Il suo utilizzo improprio e criminale è aumentato in particolare dopo che il codice sorgente dello strumento è stato trapelato dalla piattaforma GitHub nel 2020. Tale evento ha portato nei mesi successivi ad un incremento dello smercio di versioni pirata di CobaltStrike, ad opera sia di noti gruppi APT (APT41, FIN7, Mustang Panda e Ocean Lotus) che di operatori di malware generici. Ma già qualche mese prima il team Cisco Talos Incident Response (CTIR) nel suo rapporto periodico registrava un trend in aumento, nelle bande dei ransomware, nel fare sempre più affidamento sullo strumento CobaltStrike come testa di ponte nei propri attacchi.
L’evoluzione delle tecniche di attacco, purtroppo, sta seguendo una linea ben precisa, allo scopo di ridurre le probabilità di rilevamento con i tradizionali strumenti di protezione, puntando sempre più sul riutilizzo per fini malevoli di quegli strumenti di hacking leciti e impiegati dagli esperti di sicurezza.
In tal senso, una ricerca Proofpoint ha messo in evidenza come gli attacchi sferrati con CobaltStrike siano aumentati del 161% nel biennio 2019-2020, continuando a confermarsi nel 2021 una reale minaccia.
Finti aggiornamenti Kaseya: consigli di sicurezza
Non è una novità che i cyber criminali sfruttino tecniche di phishing con tematiche correlate a eventi contemporanei per capitalizzare con l’inganno il successo delle loro campagne malspam.
Questa volta, per aggiungere un senso di urgenza, si sta propinando la presunta installazione in scadenza di finti aggiornamenti, come già accaduto del resto nello scorso mese di giugno con una campagna simile che affermava di aiutare a rilevare e bloccare le infezioni dovute all’attacco ransomware subito dal colosso Colonial Pipeline.
Le conseguenze di un’infezione proveniente da malspam dipendono, ovviamente, dal tipo di malware ricevuto. Non esiste, quindi, una regola di difesa precisa contro questo tipo di minaccia, per cui occorre mantenere sempre alta l’attenzione.
Per difendersi dal malspam è quindi utile seguire anche delle regole generali dettate dal buon senso:
- non scaricare o visualizzare mai gli allegati di mittenti sconosciuti;
- trattare sempre gli allegati di mittenti conosciuti come eventualmente sospetti, a meno che le informazioni non siano state esplicitamente richieste;
- non eseguire mai file eseguibili allegati alle email, a meno di non essere assolutamente certi della provenienza;
- se si dovesse aprire il documento in allegato e questi consiglia diversamente, non bisogna mai abilitare le macro all’interno dei prodotti Office;
- in caso di dubbio, contattare il mittente prima di aprire l’allegato per chiedere ulteriori informazioni;
- eseguire sempre la scansione degli allegati con un buon antivirus aggiornato con le ultime firme virali.
Infine, per tutte le aziende il consiglio è quello di mantenere alto il livello di consapevolezza degli dei propri utenti e dipendenti, avvisandoli periodicamente delle minacce in corso, utilizzando dove possibile un team di esperti per salvaguardare la sicurezza informatica del perimetro dell’organizzazione stessa.
Come difendersi dal malware Dridex
Nel caso della campagna malspam che sta distribuendo il malware Dridex valgono, ovviamente, gli stessi consigli di sicurezza appena visti.
Inoltre, il CERT-AgID ha già rilasciato gli Indicatori di Compromissione (IoC) per favorirne la loro diffusione e rendere pubblici i dettagli della campagna malevola.
Si consiglia, quindi, di integrarli al più presto nei propri sistemi di sicurezza e formare i propri dipendenti in merito alle nuove minacce cyber a tema Kaseya.