Lockbit, la cyber gang protagonista del presunto attacco ransomware ai danni dell’Agenzia delle Entrate, sta abusando di Windows Defender per decriptare e caricare un payload di Cobalt Strike durante gli attacchi.
“Non stupisce”, commenta Pierguido Iezzi, CEO di Swascan, “che un gruppo come Lockbit continui a innovare per trovare nuovi metodi di exploit”.
“Gli attacchi di tipo Living off the Land (LotL)“, spiega Paolo Passeri, Principal Sales Engineer e Cyber Intelligence Specialist di Netskope, “che prevedono l’utilizzo di software legittimo per effettuare azioni malevole sul sistema colpito, sono eseguiti con lo scopo di evadere il rilevamento da parte delle soluzioni di sicurezza e rendere di conseguenza maggiormente complesso il contenimento dell’attacco stesso”.
Ecco i dettagli dell’attacco e i consigli su come proteggersi.
Indice degli argomenti
Lockbit usa Cobalt Strike: i dettagli
Un threat actor, associato all’operazione ransomware LockBit 3.0, sta abusando dello strumento linea di comando di Windows Defender per caricare beacon Cobalt Strike su sistemi compromessi ed evadere i software di security by detection.
Ad aprile, SentinelOne aveva riportato un attacco che coinvolgeva il ransomware LockBit, in cui gli attaccanti facevano leva su un’utility a linea di comando legittima targata VMware, nota come ‘VMwareXferlogs.exe’, per effettuare il side-load del payload di Cobalt Strike.
In un recente incidente, Sentinel Labs ha notato l’abuso della linea di comando di Microsoft Defender, il tool “MpCmdRun.exe”, per scaricare le DLL malevole che decifrano ed installano i beacon di Cobalt Strike.
Ora, Paolo Passeri ci illustra i dettagli tecnici, concentrandosi sulla limitazione della superficie di attacco che ha consentito, come in questo caso, l’accesso iniziale degli attaccanti: “Nell’attacco in questione l’interprete a linea di comando di Windows Defender è stato utilizzato per installare Cobalt Strike solo dopo aver ottenuto l’accesso al sistema sfruttando la vulnerabilità Log4Shell“.
“Questo modello di attacco non è un’eccezione”, sottolinea Passeri, “ma piuttosto la norma oggigiorno, come anche riportato da un recente studio di Group-IB che ha dimostrato come i servizi di accesso remoto, assieme allo sfruttamento di vulnerabilità verso applicazioni esposte su Internet (come in questo caso), e i più tradizionali attacchi di phishing, siano le tecniche più diffuse per ottenere l’accesso iniziale da parte dei gruppi criminali ransomware”.
“Le organizzazioni debbono pertanto limitare la superficie di attacco creata dai servizi esposti”, continua Passeri, “applicando pratiche quali una rigorosa identificazione degli asset esposti ed una altrettanto rigorosa politica di patching, l’utilizzo ove possibile di Multi Factor Authentication, la profilatura degli accessi con permessi limitati al minimo indispensabile e basati sui ruoli, ed infine l’identificazione e la rimozione di eventuali accessi in disuso o senza MFA, o anche privi di una policy di cambio di password. Limitare al minimo l’esposizione di servizi di accesso remoto (ed in generale servizi esposti su Internet) mediante l’adozione di un approccio Zero Trust costituisce una ulteriore contromisura utile a restringere la superficie di attacco”.
La gang più prolifica di cyber attacchi
“La gang”, continua Iezzi, “come rilevato dal SoC e Threat Intelligence Team di Swascan Swascan, si è confermata come la più attiva nel secondo trimestre 2022 per numero di attacchi”.
“Secondo quanto estrapolato nel nostro ultimo report in tema ransomware”, sottolinea Iezzi, “il 30.2% di tutte le istanze riscontrate nel secondo trimestre del 2022 sono da attribuirsi alla gang LockBit, che supera definitivamente la gang Conti come primo attore in questo campo”.
“La continua evoluzione delle TTP delle gang”, continua Iezzi, “è anche affiancata all’incremento di offerte da parte di initial access broker. Il tutto si traduce in un numero di attacchi sempre più alti che spesso partono direttamente da supply chain compromesse“.
“Non a caso l’industria dei servizi”, conclude Iezzi, “risulta il settore più colpito e il 72% delle aziende colpite hanno un fatturato che non supera i 250 milioni di dollari”. Infatti, “è in corso un cambio di paradigma: se l’anno scorso si riscontrava un aumento degli attacchi ransomware contro le organizzazioni ‘più grandi’, nel 2022 notiamo un incremento degli attacchi verso le Piccole Medie Imprese, proprio per la loro posizione vantaggiosa come tramite“.
Come proteggersi
La buona notizia è che l’utilizzo di beacon Cobalt Strike è di solito captato dalle principali aziende di cyber security.
Ma “la prevenzione è la migliore cura“, conclude Passeri.
Si consiglia sempre di non scaricare app fuori dai marketplace ufficiali. Inoltre, occorre prestare grande attenzione: mai fare clic su link o allegati in email o messaggi, digitando senza aver prima controllato dove conducono quei collegamenti ipertestuali.
Infine, bisogna mantenere aggiornato il sistema operativo all’ultima versione stabile disponibile. Cruciale è anche scaricare l’ultima versione delle applicazioni scaricate, evitando il download di app inutili. Infatti, non bisogna mai ampliare il perimetro di attacco.
