In uno scenario in continua evoluzione qual è quello delle minacce informatiche, si colloca la diffusione sempre più massiva dei ransomware fileless, comparsi per la prima volta nel 2014. Il termine fileless indica i metodi e le funzionalità tramite i quali il malware interagisce con il sistema, riducendo al minimo e spesso annullando l’introduzione di strumenti che non siano già parte del sistema operativo vittima.
I ransomware fileless si basano sul principio “living off the land”: tool preinstallati vengono sfruttati per eseguire i payload necessari all’infezione. Fra questi tool, il più utilizzato dai ransomware fileless è PowerShell. In particolare, il malware sfrutta script per PowerShell o macro per effettuare la cifratura dei file sull’host target dell’attacco. Proprio questa capacità di prendere “in ostaggio” un PC infetto ha reso i ransomware l’incubo peggiore per piccole e grandi aziende, nonché per utenti comuni.
Indice degli argomenti
I mezzi di diffusione dei ransomware fileless
Ad oggi, tutte le principali famiglie di ransomware hanno funzionalità “living off the land”, principalmente per la presenza di script PowerShell che scaricano ed eseguono i payload necessari.
I ransomware fileless vengono veicolati con i vettori tradizionali:
- attacchi di phishing, generati tramite e-mail;
- compromissione e creazione ad hoc di siti web in grado di eseguire script maligni nel browser del visitatore.
Cos’è quindi che rende veramente unici ed estremamente pericolosi i ransomware fileless? La risposta è da ricercarsi nel fatto che, tramite combinazione di tecniche living off the land, questi malware sono in grado di eseguire un attacco senza la necessità di scrivere su disco, venendo eseguiti direttamente in memoria. Ciò porta ad una estrema difficoltà di rilevamento.
Data la natura di questa tipologia di ransomware, è ovvio che essi, molto spesso, non siano in grado di sopravvivere ad un reboot; l’attaccante non ha alcun interesse, tuttavia, a mantenere la persistenza nel sistema, in quanto lo scopo di cifrare dati, con la possibilità di chiedere un riscatto, è già stato ottenuto.
In un recente report, intitolato “Under the Radar: The Future of Undetected Malware”, i ricercatori di Malwarebytes sottolineano come “questi attacchi sofisticati evitano il rilevamento e mantengono la persistenza prendendo in prestito le tecniche di propagazione e anti-forensic che possono essere rilevate negli attacchi complessi avvenuti in passato contro gli stati e le nazioni. Fra tutti questi attacchi, al primo posto si collocano i fileless. Essi hanno estremo successo in quanto la maggior parte delle soluzioni di sicurezza tradizionale operano per rilevare i malware file based”.
Nel 2018, il 35% degli attacchi totali è stato perpetrato tramite malware fileless: i fileless based attack hanno una probabilità di successo 10 volte maggiore rispetto alle azioni tradizionali.
Come avviene un attacco mediante ransomware fileless
Sorebrect è attualmente il più famoso ransomware fileless, in grado di colpire anche unità di rete condivise. Il malware, dopo essersi installato abusando di PsExec (sintomo che le credenziali dell’amministratore sono già state precedentemente compromesse) effettua injection di codice maligno all’interno del processo di sistema legittimo svchost.exe sull’host vittima, quindi si autodistrugge per evitare di essere rilevato.
Il servizio svchost.exe riattiva quindi l’esecuzione del payload. Sorebrect è stato progettato in maniera specifica per colpire server ed endpoint collocati su reti di grandi dimensioni: il codice iniettato inizia a cifrare i dati sul computer vittima e quindi procede con le share di rete collegate. Tipico esempio di living off the land.
Sorebrect, infine, cancella tutti i log utilizzando il comando wevtutil.exe, e le copie shadow, tramite il comando vssadmin; in questo modo, diviene più complesso rilevare cosa sia effettivamente accaduto.
Sorebrect ha quindi lo scopo di cifrare dati, così che possa essere richiesto un riscatto, ma è principalmente progettato per essere invisibile.
I ricercatori di Trend Micro puntualizzano il perché della scelta di PsExec: “Gli attaccanti potrebbero utilizzare sia RDP che PsExec per installare Sorebrect sul target, ma la capacità di iniettare codice di PsExec lo rende un tool molto più efficace. Rispetto all’utilizzo di RDP, usare PsExec è molto più semplice e permette di sfruttare le capacità fileless e di code injection di Sorebrect. PsExec garantisce all’attaccante la possibilità di eseguire comandi da remoto […] Una volta che il binary principale viene eseguito, il processo svchost.exe, dopo avere subito injection di codice maligno, è ancora in grado di gestire in payload”.
Ransomware fileless: è da qui che tutto ha inizio
In questo mercato underground, si assiste quotidianamente ad una evoluzione delle tecnologie e delle tecniche impiegate per la diffusione dei malware, sintomo di continui investimenti e di una redditività quantomeno costante.
Il primo ransomware mai creato, AIDS Trojan, era un software molto semplice ma estremamente efficace per l’epoca. Questo malware andava a sovrascrivere il file AUTOEXEC.BAT utilizzandolo per conteggiare il numero di avvii del computer. Una volta che tale conteggio raggiungeva 90, AIDS avrebbe nascosto le directory e cifrato i nomi di tutti i file presenti sul drive C:, rendendo il sistema inutilizzabile. A questo punto l’utente avrebbe ricevuto una richiesta di rinnovare una licenza contattando PC Cyborg Corporation per il pagamento di 189 dollari verso una cassetta postale collocata a Panama.
La diffusione di AIDS, isolato per la prima volta nel 1989, era avvenuta tramite floppy disk spediti ad una mailing list a cui il creatore apparteneva.
Se pensiamo ai ransomware moderni, non possiamo non ricordare immediatamente CryptoLocker. Comparso nel tardo 2013, tale malware è in grado di infettare sistemi Windows criptando tutti i dati presenti sull’elaboratore della vittima, con lo scopo poi di chiedere un riscatto per la decifratura.
Come si diffonde CryptoLocker? Generalmente tramite e-mail, con le tipiche tecniche di spoofing: un messaggio di posta elettronica che pare essere lecito, un allegato in formato EXE mascherato da documento PDF (Windows di default non mostra le estensioni dei file) o file contenente macro, un utente che apre l’allegato o attiva le macro, l’infezione che inizia. Il cardine e punto focale di questo tipo di attacchi è che la vittima deve essere attiva e compiere un errore: il ransomware non è in grado di infettare autonomamente il sistema senza un’interazione da parte dell’utente.
I ransomware hanno mantenuto questa tipologia operativa a lungo, venendo di fatto utilizzati dagli attaccanti come strumento di basso livello per colpire e monetizzare. Uno strumento che non avrebbe mai funzionato contro realtà effettivamente strutturate e pronte a rispondere a cyber attacchi.
Nel corso del 2018 si è assistito ad un incremento del numero complessivo delle varianti di ransomware e ad una variazione dei metodi di distribuzione, che sono divenuti più ordinati e metodici. I trend indicano, tuttavia, come gli attacchi perpetrati tramite ransomware siano in continua diminuzione, spesso sostituiti da azioni di diffusione di cryptocurrency miner. Chiaramente ciò è sintomo del fatto che tali attacchi non siano più azioni massive, di fatto rivolte ad utenti casuali e compiute con azioni di spam di basso livello, ma siano invece divenuti mirati, con una revenue più alta per singola vittima.
Bisogna inoltre considerare come sia diventato molto più difficile tracciare i reali spostamenti di denaro derivanti dai ransomware, in quanto i cyber criminali hanno iniziato ad incassare su circuiti di criptovalute, come Monero, che non permettono la libera consultazione delle transazioni.
Le best practice per mettere al sicuro le proprie reti
Sebbene non sia ovviamente possibile fornire la ricetta per la soluzione di tutti i problemi, alcuni accorgimenti possono limitare l’impatto di un eventuale attacco tramite ransomware fileless.
In particolare, si consiglia di:
- applicare sempre il principio di least privilege quanto si procede alla creazione degli utenti all’interno della directory. Manutenere e verificare periodicamente quali siano gli utenti attivi, inattivi e di quali permessi essi godano;
- effettuare un backup dei file, mantenuto in posizione sicura, secondo le best practice comunemente usate nei piani di disaster recovery;
- mantenere aggiornati i propri sistemi: i fileless ransomware utilizzano generalmente exploit noti durante l’esecuzione dell’attacco. Verificare lo stato delle patch o, meglio ancora, utilizzare un sistema di vulnerability management, possono innalzare in maniera esponenziale lo stato di sicurezza dell’infrastruttura;
- formare gli utenti e renderli consapevoli dei pericoli presenti nel cyberspazio. Nella maggioranza dei casi i ransomware richiedono l’interazione umana: un utente che clicca su qualsiasi link ed allegato è il miglior amico dei cyber criminali;
- limitare i privilegi di PsExec, garantendo solamente agli amministratori realmente informati la possibilità di eseguirlo.
