Le tecniche di attacco del ransomware sono cambiate negli ultimi mesi.

Per il rilevamento da parte di soluzioni di sicurezza sempre più efficaci, ormai quasi tutti gli attacchi prevedono l’interazione in tempo reale degli hacker, che quando trovano una “preda” interessante ispezionano e compilano un inventario della rete della vittima e si concentrano sulla disattivazione delle protezioni.

Queste sessioni diventano praticamente “interattive”, richiedendo la presenza dell’hacker “durante l’attacco e difesa”, e sono diventate un successo visti i risultati portati a casa gli attacchi andati a segno contro vittime dotate di difese molto valide (o presunte tali).

Durante questo periodo di tempo è aumentata anche la somma delle richieste di riscatto e i criminali hanno ampliato la gamma di attacchi includendo anche il furto di informazioni di natura altamente sensibile dalla rete della vittima.

Maggiori conseguenze ransomware

In questo caso l’obbiettivo del Ransomware diventa di 3 tipi:

• criptazione del dato e per la restituzione sideve pagare
• esfiltrazione per ricatto sulla diffusione (informazione che può essere personale/imbarazzante ma anche strategica/economica)
• sniffing delle informazioni per uso strategico e attacchi più evoluti (ad esempio spear phishing o attacco sulle copie di backup)

Gli hacker sono diventati quindi più “pazienti” e attendono a mostrare alla vittima che hanno dei dati per poter procedere alla loro copia (che vista la mole normalmente richiede tempo) o per entrare ed infiltrarsi in profondità prima di mostrarsi.

In questo modo aumentano le probabilità che una vittima paghi il riscatto, anche nel caso in cui abbia backup che può ripristinare immediatamente, anche solo per evitare che le informazioni vengano diffuse.

Ma indicano anche quanto sia diventato più difficile per gli hacker portare a segno un attacco, a dimostrazione che il lavoro svolto dai responsabili della protezione stanno prendendo adeguate misure, senza fermarsi adagiandosi su soluzioni “standard”.

Un aiuto per l’identificazione dei ransomware: la conoscenza

Come approfondimento oggi vogliamo fornirvi un elenco esemplificativo degli attacchi rilevati e delle tecniche utilizzate:

– Unsafe mode

Autunno 2019: Snatch è il primo esempio di comportamento insolito. I computer infettati si riavviano in modalità provvisoria per criptare i dischi rigidi.

Perché?

Beh, la modalità provvisoria è progettata per eseguirsi con meno driver e programmi per permettere la risoluzione dei problemi relativi al software. Ma meno programmi vuol anche dire meno protezione, infatti gli endpoint non sono solitamente attivi in questa modalità.

Inoltre un PC richiede l’esecuzione di un driver o di un file specifico, anche in modalità provvisoria, per poter svolgere operazioni particolari (ad esempio il driver scheda video).

Snatch ha sfruttato questa caratteristica della modalità provvisoria. Durante il processo di infezione, il malware configura le chiavi di registro per eseguire un file in modalità provvisoria: il suo payload. Poi riavvia il PC.

Quando il computer si riaccende in modalità provvisoria, senza protezione e avviando il payload di cifratura può lavorare senza alcun blocco.

– Exploit di driver vulnerabili

Robbinhood: gli hacker avevano installato un driver di terze parti, per sfruttare una vulnerabilità di quel driver. Il driver, normalmente innocuo, presentava una vulnerabilità non patchata e ha funzionato come testa di ponte per l’attacco.

Con i recenti aggiornamenti di Windows 10 possono essere eseguiti solamente driver firmati digitalmente, cosa che limita tali possibilità, ma i cyber criminali hanno utilizzato un driver “firmato” per disattivare questa funzionalità in Windows, in quanto impedisce l’installazione di driver hardware non firmato.

Una volta disattivata la funzionalità hanno inviato un altro driver (questa volta non firmato) al computer infettato con cui il malware si è caricato a un livello abbastanza basso per eludere gli strumenti di protezione.

Utilizzando questo driver hanno cercato di terminare o limitare altri file e processi associati ai software di sicurezza (di cui ovviamente conoscono le tecniche di difesa).

Infine il ransomware inizia a cifrare i file sul computer, indisturbato.

– Esfiltrazione

Come abbiamo detto l’estorsione diventa un’importante fonte di reddito e diverse versioni di ransomware hanno approfittato delle infezioni di reti aziendali per rubare dati sensibili o riservati nelle fasi iniziali degli attacchi, prima di essere rilevati o mostrarsi.

Quando vengono rilevati dati di importanza strategica allora possono essere esfiltrati e si agisce in tre differenti modi:

• cercando di estorcere denaro alle vittime, minacciandole di pubblicare le informazioni di cui si sono impossessati
• vendendoli a terzi bloccando successive “dimostrazioni” per evitare di essere rilevati
• utilizzandoli per portare attacchi più complessi, come attacchi al personale dirigente tramite tecniche di ingegneria sociale

I ransomware Maze, REvil/sodinokibi utilizzano tutti questo metodo per colpire le vittime.

Lockbit rendeva difficili le analisi eliminando i propri file eseguibili (per evitarne l’analisi) e aveva un elenco di software che cercava di interrompere, compresi programmi normali di gestione: il malware voleva assicurarsi che i programmi venissero chiusi, così che i documenti potessero essere criptati senza essere bloccati da altre applicazioni.

– Hypervisor bacati

Effetto RagnarLocker: una delle tecniche di elusione più “complesse”. Si basava sull’esecuzione di una macchina virtuale da cui partiva poi il vero attacco. Gli hacker inviavano una virtual machine basata su VirtualBox (diversi MB contrariamente al solito tipo di attacchi di pochi KB)

Questa VM veniva installata sui dispositivi che si intendeva attaccare in modo che le operazioni eseguite dal ransomware, in esecuzione all’interno, venissero eseguite dall’hypervisor, che è considerato dai sistemi operativi una “applicazione attendibile”, quindi la protezione endpoint non è scattata quando i comandi sono stati eseguiti all’interno della VM permettendo di cifrare il disco rigido.

– Strumenti open source

Netwalker ha permesso di scoprire il database di strumenti gratuiti open source che utilizzano i cyber criminali durante le varie fasi di attacco.

La compilation degli hacker conteneva:

• strumenti per esplorare le reti delle vittime
• programmi di elevazione dei privilegi
• exploit per computer Windows
• utilità in grado di rubare account
• utilità per fare sniffing o man in the middle
• utilità per effettuare attacchi brute force (il più famoso è Mimikatz)

Le scoperte più problematiche sono state il set del pacchetto Microsoft Sysinternals PsTools, NLBrute (che esegue attacchi brute force per prelevare le password) e i programmi di installazione di alcuni strumenti di supporto remoto (TeamViewer e AnyDesk).

Chicca finale: tutte le utility create dai produttori di soluzioni di protezione antivirus progettate per rimuovere da un computer i propri software e quelli di altre aziende (normalmente usati in fase di installazione o disinstallazione).

Come lavoravano i ransomware

Il problema era solo entrare nella rete della vittima, sfruttando vulnerabilità dei modem, protocolli RDP deboli o altri exploit. Dopodichè utilizzando un Network Scanner per identificare i computer (quelli con porte SMB aperte) utilizzavano Mimikatz per ottenerne le credenziali e utilizzare il resto del set con creatività:

• software di controllo remoto per poter prendere il controllo dei PC
• esecuzione automatica di processi in partenza per rubare credenziali e password (cd Keylogger)
• diffondersi in rete o acceder a risorse condivise, mail o altro
• etc

– Problemi di memoria

WastedLocker: è diventato famoso per essere quello usato nell’attacco contro Garmin.

Quale è stata la sua trovata? La maggior parte delle attività veniva svolta nella RAM, senza richiedere la presenza di file, eludendo quindi la maggior parte dei controlli che si basano sulla presenza di un file o sulla scrittura su disco di un codice dannoso, utilizzando la tecnica denominata “operazioni I/O mappate in memoria”.

Il ransomware “tradizionale” utilizza un file eseguibile ed effettua un elevato numero di letture e scritture di file mentre cripta i dati e ovviamente questi comportamenti attivano quei meccanismi di protezione che sospendono l’operazione. Lavorando in memoria, e criptando i dati in I/O mentre vengono caricati/scaricati, WastedLocker riduce notevolmente il numero di letture e scritture rilevabili, non rientrando nella soglia impostata dalle regole di rilevamento.

Inoltre WastedLocker approfitta del modo in cui Windows gestisce la cache: se un processo cambia la memoria mappata, la Gestione Cache riconosce quali pagine devono essere nuovamente scritte su disco e lo fa, ricaricandone di nuove. Ovviamente sfruttando questo processo (autorizzato dal kernel stesso) le pagine vengono criptate in memoria e scritte su disco dal Sistema Operativo stesso, senza alcun tipo di blocco.

CONCLUSIONI

Come sempre noi cerchiamo di fornire indicazioni sulle tecniche non solo per informazione, ma soprattutto per “formazione”.

È infatti indispensabile che i Responsabili e gli Operatori Tecnici siano coscienti delle tecniche di attacco per poterle riconoscere, contrastare e prevenire in caso di necessità.

Siamo come sempre a disposizione per eventuali richieste o osservazioni e ricordate l’obbiettivo

La sicurezza non può essere per molti…

deve essere per tutti!