• IL NOSTRO NETWORK:
  • The Innovation Group
  • Technopolis
  • ictBusiness.it
logo
logo
  • News
  • Focus
  • Eccellenze.it
  • Strategie di Canale
  • Ti trovi in:
  • Home Page
  • Focus

Malware “commodity” e ransomware, due pericoli coesistenti

I dati trimestrali di Cisco Talos evidenziano una crescita dei malware commodity a discapito dei ransomware. La distanza, tuttavia, è ravvicinata ed entrambe le tipologie possono rappresentare una minaccia sofisticata.

Pubblicato il 28 luglio 2022 da Valentina Bernocco

Il malware generico non dev’essere sottovalutato, anche se negli ultimi anni è stato piuttosto il ransomware a spopolare nei report delle società di sicurezza informatica e a occupare i titoli delle notizie di cronaca. L’ultima analisi trimestrale basata sulla raccolta del team di risposta agli incidenti Cisco Talos mostra che, per la prima volta in un anno, il numero di tentati attacchi basati su malware commodity ha superato quello dei ransomware: sono stati, rispettivamente, il 20% e il 15% degli episodi registrati nei tre mesi.

Dopo queste due tipologie di attacco e, al terzo posto, la categoria “altre minacce”, seguono in classifica i tentativi di phishing/Business Email Compromise (Bec), le minacce persistenti avanzate (Apt), lo sfruttamento degli errori di configurazione/esposizione di applicazioni, le minacce interne alle aziende (dipendenti che agiscono con dolo o senza dolo), l’exploit della vulnerabilità Log4j/Log4Shell.

 


(Fonte: Cisco Talos, dati riferiti al secondo trimestre 2022)

 

L’espressione malware commodity non deve trarre in inganno, lasciando pensare che si tratti di programmi non eccessivamente sofisticati e dannosi. Vengono definiti “commodity” perché è diventato ormai molto facile procurarseli e farne uso: solitamente sono acquistabili o scaricabili nel Dark Web, e tipicamente si tratta di malware non customizzati e utilizzabili in una varietà di contesti e in diverse fasi di una catena d’attacco (anche, eventualmente, per installare infezioni ransomware che poi porteranno a termine le fasi finali).

E nemmeno deve trarre in inganno la discesa dei ransomware al secondo posto della classifica: la distanza dai malware commodity non è ampia e inoltre si tratta probabilmente dell’effetto contingente e temporaneo dello smantellamento di alcuni gruppi cybercriminali specializzati in attacchi con richiesta di riscatto. Una dinamica simile era già emersa nel primo trimestre di quest’anno, evidenziata dai dati di Kroll. 


Il ransomware è ancora pericoloso: i casi BlackCat e Conti

La stessa Cisco Talos sottolinea la persistente pericolosità dei ransomware, che restano minacciosi sia per la quantità di attacchi in circolazione sia per la crescente sofisticatezza. Tra inizio aprile e fine giugno il team di risposta agli incidenti di Cisco Talos (Citr) ha osservato, per esempio, la presenza di varianti di ransomware-as-a-service di alto profilo, come BlackCat  (emerso già a fine 2021 e anche noto come ALPHV) e Conti (opera dell’omonimo gruppo cybercriminale di ascendenza russa).

In un episodio osservato nel trimestre, BlackCat ha colpito una società di telecomunicazioni statunitense ma è stato efficacemente bloccato senza diffondersi nella rete dell’azienda. Tuttavia nel corso dell'incidente gli esperti del team di Cisco Talos hanno analizzato degli artefatti che sono risultati essere istanze di Cobalt Strike (uno strumento di cybersicurezza legittimo, molto usato però dai gruppi Apt) con un loader Delphi che poteva eseguire operazioni di memory-dumping Mimikatz (uno strumento di attacco per il movimento laterale). Sono stati rilevati due due domini dannosi che reindirizzavano verso  indirizzi IP noti di Cobalt Strike, e uno dei due (standwithukraine[.]space) sembra essere un riferimento alla guerra in corso tra Russia e Ucraina. Non è la prima volta che un loader Delphi compare all’interno di un ransomware e che viene sfruttato per eseguire un codice  Cobalt Strike: prima di BlackCat, era successo con il famigerato ransomware REvil/Sodinokibi.

Altro episodio di spicco osservato nel trimestre aveva come protagonista un'azienda sanitaria con sedi negli Stati Uniti, in Europa e in Medio Oriente: un attore affiliato di Conti ha sfruttato la vulnerabilità Log4Shell su un server Vmware Horizon vulnerabile. Anche in questo caso è stato eseguito Cobalt Strike, nella fattispecie per installare strumento di  accesso remoto (AnyDesk), per modificare password e privilegi e per realizzare il movimento laterale. Cisco Talos fa notare che anche nel secondo trimestre, come a inizio anno, il gruppo Conti ha sfruttato  Log4Shell come mezzo di infezione iniziale.

Ma Conti non era sparito? Così sembrava: dopo una serie di dissidi interni e una serie di leak, il gruppo (composto da molti russi sostenitori del Cremlino, ma anche da hacker di nazionalità ucraina) nel mese di maggio aveva annunciato di voler cessare le attività e a giugno aveva messo offline gran parte della propria infrastruttura, tra cui i server Tor usati per la fuga di dati e la negoziazione dei pagamenti dei riscatti. Al momento non è chiaro dove i membri di Conti abbiano diretto i propri interessi, come il gruppo si sia sciolto ed eventualmente riformato con un nuovo assetto. Sappiamo però che gli scioglimenti (anche dettati dalla necessità di sfuggire alle forze dell’ordine) e i rimescolamenti sono molto frequenti tra i gruppi cybercriminali, inclusi quelli specializzati in ransomware. Cisco Talos sospetta che una variante RaaS relativamente nuova, denominata "Black Basta", sia il nuovo nome di Conti, come suggeriscono alcune somiglianze nei siti usati per il pagamento e il data leak e nello stile di comunicazione di alcuni membri dei due gruppi.

 

 


A proposito del ricircolo e “riclico” delle minacce in nuove combinazioni e destinazioni, ha qualcosa da dire anche Kaspersky. I suoi ricercatori hanno recentemente scoperto un nuovo gruppo cybercriminale, soprannominato Luna, che utilizza ransomware scritti in Rust, un linguaggio di programmazione usato in precedenza da BlackCat, Hive e altri attori cybercriminali. L’impiego di Rust permette di trasferire facilmente il malware da un sistema operativo all’altro, tant’è che Luna colpisce contemporaneamente macchine Windows, Linux ed ESXi. Al momento, analizzando il modo in cui sono scritte le richiesta di riscatto hardcoded nel codice binario (cioè gli errori di spelling), sembra che Luna lavori soltanto con affiliati di lingua russa.

Telecomunicazioni e sanità in cima agli obiettivi
Nel secondo trimestre di quest’anno, in base i dati di Cisco Talos, il settore verticale più bersagliato continua a essere quello delle telecomunicazioni, così come lo era stato a fine 2021 e all’inizio del 2022. Seguono, nell’ordine i settori della sanità (medicina e farmaceutica) e dell’istruzione, e il terzetto si distanzia notevolmente per numero di tentativi di attacco subìti dagli altri ambiti verticali, quali servizi finanziari, enti locali, retail e distribuzione, automotive, Information Technology, manifattura.

In un attacco rivolto a una struttura medica statunitense, il team di Cisco Talos ha identificato un file Microsoft Excel dannoso, diffuso tramite e-mail di phishing e contenente una variante del trojan Remcos. Quest’ultimo, in circolazione almeno dal 2016, è tecnicamente un Remote Access Trojan (Rat) che spia gli utenti in vari modi, per esempio registrando gli input della tastiera e dell’audio del computer infetto, acquisendo screenshot, raccogliendo dati dalla clipboard e altro ancora.

 

 
Tag: cisco, malware, ransomware, cybersicurezza

CISCO

  • Cisco annuncia un impegno decennale per le competenze digitali
  • Con Cisco Webex si possono misurare le emissioni di CO2
  • Tecnologie, nuovi spazi e cultura: i pilastri del lavoro ibrido
  • Telefonia e collaborazione dello studio legale volano in cloud
  • Specializzazioni per tema (e non per tecnologia), la visione di Cisco

FOCUS

  • Il lavoro ibrido dà nuovo impulso al mercato delle stampanti
  • Il taglio dei costi non ferma la trasformazione digitale
  • Sempre più service-oriented la proposta di Quid per il finance
  • Complessità, visibilità, costi: i difetti del cloud e come risolverli
  • Triplice trasformazione con stampa e servizi Workplace X di Brother
Seguici:
IctBroadcast

Tweets by ictBusinessIT

Top news
  • Più lette
  • Ultime pubblicate
Trasformazione digitale in azienda, scontento un dipendente su tre
Nel cloud di Infobip i dati possono restare in Europa
Microsoft lancia in Dynamics un “copilota” di intelligenza artificiale
Gli errori di configurazione del cloud sono quasi ubiqui
Peter Herweck Ceo di Schneider Electric, Caspar Herzberg guida Aveva
Transizione energetica, il gap tra buone intenzioni e fatti
PA, utilities e servizi finanziari volano per Oracle in Italia
Boom di attacchi gravi in Italia, il pericolo anche nella banalità
Donne e tecnologia, a che punto siamo con il gender gap?
Aziende lente, solo il 10% risponde alle cyber minacce entro un’ora
La cyber estorsione inizia a fare a meno anche del ransomware
Nuova struttura a tre livelli per il programma partner di Rubrik
Con Einstein GPT, Salesforce porta l’AI generativa nel Crm
Carlo Barlocco guida le attività B2B di Motorola in Europa
ChatGPT salirà a bordo delle automobili di General Motors
Arrow Electronics supporta i partner di canale sul segmento Pmi
Con Salesforce i dati del Crm possono restare in Europa
Lenovo 360: più competenze ai partner, più valore alle soluzioni
Thorsten Theuer è vicepresidente per le attività Emea di Paessler
Commvault si allarga alla salvaguardia multicloud ibrido
Sanzione per privacy su Google, vittoria sui brevetti per Apple
Visori di realtà mista di Apple in arrivo (forse) a giugno
Telefonia VoIP, 3CX compromesso da un attacco di supply chain
Vectra AI mette insieme analisi comportamentale e signature
L’intelligenza artificiale preoccupa Elon Musk e Steve Wozniak
Ransomware, il 38% delle aziende colpito più volte in un anno
Da SharePoint a YouTube, le trappole subdole del phishing
Skillskan, un motore per “sposare” domanda e offerta di lavoro
Una piattaforma gestita per cloud ibrido con Red Hat e Aruba
Cohesity sceglie Kit Beall come chief revenue officer
Chi siamo
Contatti
Privacy
Informativa Cookie
News
Focus
Eccellenze.it
Strategie di canale
The Innovation Group
Technopolis
indigo logo tig logo
© 2023 The Innovation Group, via Palermo 5, 20121 Milano | P.IVA 06750900968