Le tecniche di attacco del ransomware sono cambiate in maniera piuttosto drastica negli ultimi dieci mesi. Per eludere il rilevamento di soluzioni di sicurezza endpoint sempre più efficaci, ormai quasi tutti gli attacchi prevedono l’interazione in tempo reale degli hacker, che prima ispezionano e compilano un inventario della rete della vittima e poi si concentrano sul bloccare o disattivare i vari livelli di protezione.
Queste sessioni interattive sono diventate un must in praticamente tutti gli attacchi andati a segno contro vittime dotate di difese molto valide. Durante questo periodo di tempo, è aumentata anche la somma media delle richieste di riscatto e i criminali hanno ampliato la loro gamma di attacchi includendo, solitamente nelle prime fasi dell’attacco, anche il furto di informazioni di natura altamente sensibile dalla rete della vittima.
In questo modo aumentano le probabilità che una vittima paghi il riscatto, anche nel caso in cui abbia backup che può ripristinare immediatamente.
Indice degli argomenti
Ransomware, i dettagli delle tecniche di attacco
Questi due elementi (l’esigenza di eludere il rilevamento e la necessità dei criminali di rafforzare la propria posizione nelle trattative di riscatto) sono stati fattori determinanti nei drastici cambiamenti di comportamento osservati.
Inoltre, indicano quanto sia diventato difficile portare a segno un attacco, il che dimostra che il lavoro svolto dai responsabili della protezione dei sistemi ha avuto un effetto tangibile sulle modalità operative dei cybercriminali.
Quello che segue è un elenco empiricamente selezionato degli attacchi che abbiamo ritenuto di maggiore interesse. Riteniamo che siano sintomo di un certo livello di frustrazione da parte degli hacker che utilizzano il ransomware, per via della loro impossibilità di interrompere o disattivare questi controlli di sicurezza.
Tecniche di attacco dei ransomware: Unsafe mode
Nell’autunno del 2019 un ransomware chiamato Snatch ha cominciato a mostrare comportamenti insoliti per gli attacchi di ransomware: i computer infettati si riavviavano nella modalità provvisoria di Windows e successivamente cominciavano a cifrare i dischi rigidi.
La modalità provvisoria di Windows è progettata per eseguirsi con meno driver e programmi possibili, per permettere la risoluzione dei problemi relativi al software. L’avvio in modalità provvisoria può limitare notevolmente le funzionalità di sicurezza endpoint, in quanto questo tipo di protezione non è solitamente attivo in questa modalità di funzionamento del sistema operativo.
In alcune situazioni, un PC richiede l’esecuzione di un driver o di un file specifico, anche in modalità provvisoria, per poter svolgere operazioni critiche (ad esempio far funzionare correttamente il display).
Snatch ha sorpreso tutti approfittando di questa caratteristica intenzionale della modalità provvisoria. Durante il processo di infezione, il malware configura le chiavi di registro necessarie per eseguire un file specifico in modalità provvisoria. Posiziona il suo payload (il componente di cifratura), dirige le chiavi di registro verso questo payload e riavvia il computer. Quando il computer si riaccende in modalità provvisoria, senza protezione endpoint, il ransomware può avviare il suo payload di cifratura e bloccare file essenziali sul disco rigido senza alcuna opposizione.
Tecniche di attacco dei ransomware: exploit di driver vulnerabili
Le analisi retrospettive degli attacchi di un ransomware chiamato Robbinhood hanno rivelato che i cyber criminali avevano installato un driver di terze parti, altrimenti innocuo, per sfruttare una vulnerabilità di quel driver.
Il driver vulnerabile ha svolto il ruolo di trampolino di lancio per il resto dell’attacco. Negli attacchi che analizzati, gli hacker di Robbinhood hanno caricato una scheda madre in disuso da diverso tempo firmata digitalmente da Gigabyte, l’azienda produttrice dell’hardware.
In seguito ai recenti aggiornamenti di Windows 10, in circostanze normali possono essere eseguiti solamente questi tipi di driver firmati digitalmente.
Paradossalmente, i cyber criminali hanno utilizzato il driver di Gigabyte per disattivare questa funzionalità in Windows, in quanto impedisce l’installazione di driver hardware che non sono stati firmati crittograficamente.
Gigabyte ha ritirato il driver dal mercato diversi anni fa, sostituendolo con software più recente, che non si presta agli stessi tipi di utilizzo improprio. Ma gli hacker di Robbinhood ne hanno trovato una copia e sono riusciti a usarlo comunque.
Una volta disattivata la funzionalità Disabilita imposizione firma driver, gli hacker di RobbinHood hanno inviato un altro driver (questa volta non firmato) al computer infettato.
Il malware si è servito di questo secondo driver per caricarsi a un livello operativo che i cybercriminali ritenevano abbastanza basso per eludere gli strumenti di protezione endpoint.
Utilizzando questo driver come copertura, gli hacker di Robbinhood hanno cercato di terminare o limitare altri file e processi associati a vari software di sicurezza. Tutto questo lavoro è stato svolto prima che il ransomware iniziasse a cifrare i file sul computer.
L’estorsione diventa un’importante fonte di reddito secondaria
Diverse gang di ransomware hanno cominciato ad approfittare della loro presenza all’interno di reti aziendali per rubare dati di natura sensibile nelle fasi iniziali degli attacchi.
Nelle fasi successive, i cybercriminali cercano quindi di estorcere denaro alle vittime, minacciandole di pubblicare le informazioni di cui si sono impossessati.
I ransomware Maze, REvil/sodinokibi e utilizzano tutti questo metodo secondario di colpire le vittime.
Sebbene continuino regolarmente ad emergere nuovi ransomware, abbiamo osservato che la maggior parte degli autori che creano nuove famiglie di ransomware seguono fasi di crescita molto simili nei primi 6-9 mesi di attività, ampliando lentamente il set di funzionalità a loro disposizione per includere molte tecniche comunemente impiegate dagli hacker per assicurarsi la persistenza e muoversi inosservati all’interno della rete.
L’estorsione è semplicemente il più recente comportamento aggiuntivo che abbiamo notato nelle famiglie di ransomware più evolute.
Lockbit contrastava ulteriormente le analisi eliminando i propri file binari eseguibili e sovrascrivendo lo spazio occupato da quei file sul disco rigido, in modo che non potessero essere ripristinati con un software di recupero dei dati.
Inoltre, aveva anche un lungo elenco di software che cercava di interrompere, inclusi alcuni programmi senza alcuna funzionalità di sicurezza: il malware voleva semplicemente assicurarsi che quei programmi venissero chiusi, in modo che i documenti aperti potessero essere sovrascritti in maniera più efficiente durante la fase di cifratura.
Quando non si sa cosa fare, ricorrere al proprio computer
Una delle tecniche di elusione adottate dal ransomware particolarmente degna di nota è stata tentata da Ragnar Locker: il malware non ha potuto effettuare la cifratura durante il caricamento di Intercept X, per cui gli hacker hanno impostato un’immagine Windows headless per un hypervisor VirtualBox e hanno installato questa virtual machine (VM) su tutti i dispositivi che intendevano attaccare.
Era un piano subdolo, in quanto sembrava che qualsiasi azione intrapresa dal ransomware in esecuzione all’interno del sistema operativo guest venisse effettuata dal processo che eseguiva l’hypervisor. Siccome si tratta di un’applicazione attendibile, la protezione endpoint non è subito entrata in azione quando gli hacker hanno eseguito tutti i comandi dall’interno della VM guest.
Con un programma di installazione di oltre 122 MB, la Virtual Machine aveva dimensioni enormi, rispetto ai normali file binari di ransomware, che di solito occupano solo pochi MB. Un bel malloppo. I cyber criminali hanno compilato un bundle contenente un programma di installazione di una vecchia copia di VirtualBox e l’immagine del disco del sistema operativo guest, inserendo il tutto in un file MSI e cercando poi di scaricarne una copia e avviarla su tutti gli endpoint infettati.
È stato solamente dopo aver configurato l’ambiente virtuale che il malware ha cercato di preparare il proprio ambiente e cifrare il disco rigido. Inizialmente, sembrava che il comportamento di cifratura dei file del ransomware sul computer host provenisse dal processo attendibile VirtualBox, il che confondeva la situazione per diversi motivi.
Utilizzo sempre più diffuso di strumenti open source o pubblici
La scoperta dell’archivio di risorse di malware utilizzato dai cyber criminali del ransomware Netwalker ci ha fornito moltissime informazioni utili sulla pianificazione e sulle tecniche necessarie per sferrare un attacco.
Un dato interessante che abbiamo scoperto è stato l’elevato numero di strumenti gratuiti oppure open source di cui hanno bisogno i cyber criminali durante le varie fasi dell’attacco.
La libreria degli hacker conteneva un set completo di strumenti per esplorare le reti delle vittime, nonché programmi di elevazione dei privilegi e altri exploit per computer Windows, utilità in grado di rubare, intercettare o sferrare attacchi brute force (incluso Mimikatz e le varianti Mimidogz e Mimikittenz, progettate per eludere il rilevamento dei sistemi di sicurezza endpoint) al fine di prelevare illecitamente informazioni di valore da computer o reti.
Abbiamo trovato anche un set quasi completo del pacchetto Microsoft Sysinternals PsTools, una copia di NLBrute (che sferra attacchi brute force per cercare di prelevare le password), i programmi di installazione degli strumenti di supporto remoto TeamViewer e AnyDesk, nonché una serie di utilità create da vendor di soluzioni di protezione endpoint che sono progettate per rimuovere da un computer i propri software di sicurezza e strumenti antivirus, oltre a quelli di altre aziende.
A quanto pare, una volta infiltratisi nella rete della vittima, gli hacker utilizzavano SoftPerfect Network Scanner per identificare i computer da colpire e creare un elenco di quelli con porte SMB aperte; successivamente, è probabile che si servissero di Mimikatz, Mimidogz o Mimikittenz per ottenere credenziali.
Anche i file che abbiamo recuperato fornivano informazioni sulla collezione di exploit preferita da questi hacker.
Tra questi abbiamo trovato varianti dell’exploit EternalDarkness SMBv3 (CVE-2020-0796), un exploit dei privilegi locali di Windows (CVE-2019-1458), l’exploit di privilege escalation pubblicato sull’account GitHub di Google Security e l’exploit “RussianDoll” (the CVE-2015-1701).
Quello che succede nella memoria rimane nella memoria
Le epidemie del ransomware WastedLocker di quest’anno lo hanno messo in evidenza come new entry.
Questo malware è già stato implicato in alcuni attacchi molto gravi, incluso quello contro l’azienda produttrice di dispositivi GPS Garmin che, a quanto si dice, ha dovuto pagare una somma ingente di denaro per poter riprendere le operazioni commerciali.
WastedLocker ha adottato un approccio diverso alla strategia di rilevamento ed elusione dei sistemi antiransomware, svolgendo la maggior parte delle proprie attività nella memoria di sistema volatile.
La tecnica si chiama utilizzo delle operazioni I/O mappate alla memoria.
Questo comportamento ha dei vantaggi. Con il ransomware “tradizionale”, il comportamento del malware è visibile, poiché un file binario eseguibile effettua un vasto numero di letture e scritture di file mentre cifra i dati essenziali della vittima.
I motori di rilevamento basati sui comportamenti che identificano questo tipo di attività insolite avviserebbero l’utente e/o sospenderebbero l’operazione, limitando i danni.
Siccome WastedLocker riduce notevolmente il numero di letture e scritture rilevabili, potrebbe non rientrare nella soglia limite che segnala la presenta di attività sospette in alcune regole di rilevamento basato sui comportamenti.
Inoltre, WastedLocker approfitta di una conseguenza non intenzionale del modo in cui Windows gestisce la memoria, in quanto sfrutta un componente chiamato Gestione cache. La Gestione cache è un componente del kernel situato tra il file system e la Gestione memoria. La Gestione memoria monitora la memoria che viene modificata (le pagine “dirty”). Se un processo cifra la memoria mappata, la Gestione memoria riconosce quali pagine devono essere nuovamente scritte su disco.
La scrittura avviene per mezzo del componente “Lazywriter” della Gestione cache; viene quindi permesso un accumulo temporaneo di pagine dirty, che vengono poi scaricate su disco contemporaneamente, riducendo la quantità complessiva di operazioni I/O su disco.
Come conseguenza non intenzionale secondaria di questo processo, la scrittura sul file system dei file modificati, prelevati dalle proprie “pagine dirty”, viene effettuata nel contesto del sistema (PID 4), piuttosto che all’interno del processo del ransomware e questo stratagemma complica ulteriormente il rilevamento basato sui comportamenti.
Dopotutto, gli hacker preferiscono evitare l’arresto anomalo del computer della vittima per via di un’utilità antimalware che potrebbe ritenere che il sistema operativo sta danneggiando il computer.
Questa tecnica rischia anche di ostacolare i rilevamenti basati sui comportamenti meno efficaci.
Tecniche di attacco dei ransomware: la migliore difesa è la prevenzione
Con tutte queste innovazioni introdotte in un breve periodo di tempo nelle tecniche di attacco dei ransomware, non è difficile capire perché questa minaccia abbia attraversato una fase di rinascita.
Alla radice di molte infezioni di ransomware, se non quasi tutte, si trova il principale problema che affligge la maggior parte delle organizzazioni: la mancanza di adeguati controlli e di un impegno attivo volto a ridurre la superficie di attacco che può essere sfruttata dal malware.
Se lavorate nell’ambito dell’IT security, la vostra azienda conta su di voi per colmare le lacune e le backdoor più evidenti che possono lasciare la rete esposta ai rischi.
Le strategie di base per la protezione dell’integrità del PC (inclusi l’installazione di tutte le patch appena vengono rilasciate, l’arresto di Desktop remoto o la sua implementazione con una VPN e l’applicazione dell’autenticazione a fattori multipli a tutti i servizi che ospitano i dati di natura sensibile dell’organizzazione) sono alcune delle procedure fondamentali che potete adottare oggi stesso per proteggere sia voi che la vostra rete.
Se gli strumenti di protezione endpoint sono la metaforica rete di protezione sotto un funambolo durante un’esibizione difficile, l’applicazione delle patch e l’arresto dei servizi non essenziali che possono causare lacune nel firewall sono i normali esercizi quotidiani che prevengono la caduta e il dover ricorrere a questa rete nei momenti cruciali.
