Malware “commodity” e ransomware, due pericoli coesistenti

Il malware generico non dev’essere sottovalutato, anche se negli ultimi anni è stato piuttosto il ransomware a spopolare nei report delle società di sicurezza informatica e a occupare i titoli delle notizie di cronaca. L’ultima analisi trimestrale basata sulla raccolta del team di risposta agli incidenti Cisco Talos mostra che, per la prima volta in un anno, il numero di tentati attacchi basati su malware commodity ha superato quello dei ransomware: sono stati, rispettivamente, il 20% e il 15% degli episodi registrati nei tre mesi.

Dopo queste due tipologie di attacco e, al terzo posto, la categoria “altre minacce”, seguono in classifica i tentativi di phishing/Business Email Compromise (Bec), le minacce persistenti avanzate (Apt), lo sfruttamento degli errori di configurazione/esposizione di applicazioni, le minacce interne alle aziende (dipendenti che agiscono con dolo o senza dolo), l’exploit della vulnerabilità Log4j/Log4Shell.

(Fonte: Cisco Talos, dati riferiti al secondo trimestre 2022)

L’espressione malware commodity non deve trarre in inganno, lasciando pensare che si tratti di programmi non eccessivamente sofisticati e dannosi. Vengono definiti “commodity” perché è diventato ormai molto facile procurarseli e farne uso: solitamente sono acquistabili o scaricabili nel Dark Web, e tipicamente si tratta di malware non customizzati e utilizzabili in una varietà di contesti e in diverse fasi di una catena d’attacco (anche, eventualmente, per installare infezioni ransomware che poi porteranno a termine le fasi finali).

E nemmeno deve trarre in inganno la discesa dei ransomware al secondo posto della classifica: la distanza dai malware commodity non è ampia e inoltre si tratta probabilmente dell’effetto contingente e temporaneo dello smantellamento di alcuni gruppi cybercriminali specializzati in attacchi con richiesta di riscatto. Una dinamica simile era già emersa nel primo trimestre di quest’anno, evidenziata dai dati di Kroll. 

Il ransomware è ancora pericoloso: i casi BlackCat e Conti

La stessa Cisco Talos sottolinea la persistente pericolosità dei ransomware, che restano minacciosi sia per la quantità di attacchi in circolazione sia per la crescente sofisticatezza. Tra inizio aprile e fine giugno il team di risposta agli incidenti di Cisco Talos (Citr) ha osservato, per esempio, la presenza di varianti di ransomware-as-a-service di alto profilo, come BlackCat  (emerso già a fine 2021 e anche noto come ALPHV) e Conti (opera dell’omonimo gruppo cybercriminale di ascendenza russa).

In un episodio osservato nel trimestre, BlackCat ha colpito una società di telecomunicazioni statunitense ma è stato efficacemente bloccato senza diffondersi nella rete dell’azienda. Tuttavia nel corso dell'incidente gli esperti del team di Cisco Talos hanno analizzato degli artefatti che sono risultati essere istanze di Cobalt Strike (uno strumento di cybersicurezza legittimo, molto usato però dai gruppi Apt) con un loader Delphi che poteva eseguire operazioni di memory-dumping Mimikatz (uno strumento di attacco per il movimento laterale). Sono stati rilevati due due domini dannosi che reindirizzavano verso  indirizzi IP noti di Cobalt Strike, e uno dei due (standwithukraine[.]space) sembra essere un riferimento alla guerra in corso tra Russia e Ucraina. Non è la prima volta che un loader Delphi compare all’interno di un ransomware e che viene sfruttato per eseguire un codice  Cobalt Strike: prima di BlackCat, era successo con il famigerato ransomware REvil/Sodinokibi.

Altro episodio di spicco osservato nel trimestre aveva come protagonista un'azienda sanitaria con sedi negli Stati Uniti, in Europa e in Medio Oriente: un attore affiliato di Conti ha sfruttato la vulnerabilità Log4Shell su un server Vmware Horizon vulnerabile. Anche in questo caso è stato eseguito Cobalt Strike, nella fattispecie per installare strumento di  accesso remoto (AnyDesk), per modificare password e privilegi e per realizzare il movimento laterale. Cisco Talos fa notare che anche nel secondo trimestre, come a inizio anno, il gruppo Conti ha sfruttato  Log4Shell come mezzo di infezione iniziale.

Ma Conti non era sparito? Così sembrava: dopo una serie di dissidi interni e una serie di leak, il gruppo (composto da molti russi sostenitori del Cremlino, ma anche da hacker di nazionalità ucraina) nel mese di maggio aveva annunciato di voler cessare le attività e a giugno aveva messo offline gran parte della propria infrastruttura, tra cui i server Tor usati per la fuga di dati e la negoziazione dei pagamenti dei riscatti. Al momento non è chiaro dove i membri di Conti abbiano diretto i propri interessi, come il gruppo si sia sciolto ed eventualmente riformato con un nuovo assetto. Sappiamo però che gli scioglimenti (anche dettati dalla necessità di sfuggire alle forze dell’ordine) e i rimescolamenti sono molto frequenti tra i gruppi cybercriminali, inclusi quelli specializzati in ransomware. Cisco Talos sospetta che una variante RaaS relativamente nuova, denominata "Black Basta", sia il nuovo nome di Conti, come suggeriscono alcune somiglianze nei siti usati per il pagamento e il data leak e nello stile di comunicazione di alcuni membri dei due gruppi.

A proposito del ricircolo e “riclico” delle minacce in nuove combinazioni e destinazioni, ha qualcosa da dire anche Kaspersky. I suoi ricercatori hanno recentemente scoperto un nuovo gruppo cybercriminale, soprannominato Luna, che utilizza ransomware scritti in Rust, un linguaggio di programmazione usato in precedenza da BlackCat, Hive e altri attori cybercriminali. L’impiego di Rust permette di trasferire facilmente il malware da un sistema operativo all’altro, tant’è che Luna colpisce contemporaneamente macchine Windows, Linux ed ESXi. Al momento, analizzando il modo in cui sono scritte le richiesta di riscatto hardcoded nel codice binario (cioè gli errori di spelling), sembra che Luna lavori soltanto con affiliati di lingua russa.

Telecomunicazioni e sanità in cima agli obiettivi
Nel secondo trimestre di quest’anno, in base i dati di Cisco Talos, il settore verticale più bersagliato continua a essere quello delle telecomunicazioni, così come lo era stato a fine 2021 e all’inizio del 2022. Seguono, nell’ordine i settori della sanità (medicina e farmaceutica) e dell’istruzione, e il terzetto si distanzia notevolmente per numero di tentativi di attacco subìti dagli altri ambiti verticali, quali servizi finanziari, enti locali, retail e distribuzione, automotive, Information Technology, manifattura.

In un attacco rivolto a una struttura medica statunitense, il team di Cisco Talos ha identificato un file Microsoft Excel dannoso, diffuso tramite e-mail di phishing e contenente una variante del trojan Remcos. Quest’ultimo, in circolazione almeno dal 2016, è tecnicamente un Remote Access Trojan (Rat) che spia gli utenti in vari modi, per esempio registrando gli input della tastiera e dell’audio del computer infetto, acquisendo screenshot, raccogliendo dati dalla clipboard e altro ancora.