È stata individuata una nuova campagna di distribuzione del ransomware INC, che sta colpendo realtà operative in Italia. Questo malware, attivo dal 2023, rientra nel modello Ransomware-as-a-Service (RaaS), ossia fornito come “servizio” da cybercriminali ad affiliati, che lo utilizzano per colpire le vittime e poi condividere i profitti dei riscatti.
Come avviene l’attacco
Gli attaccanti ottengono l’accesso abusivo ai sistemi in genere in due modi: da un lato, tramite password spraying, una tecnica che sfrutta botnet per provare password comuni su un gran numero di account utilizzando un dizionario di password comuni, dall’altro, sfruttando vulnerabilità note in dispositivi esposti su Internet e con versioni software non aggiornate al fine di bypassare i meccanismi di autenticazione del prodotto.
Una volta ottenuto l’accesso al firewall, gli attaccanti hanno la possibilità di esplorare l’infrastruttura: analizzano i dispositivi, raccolgono credenziali e si muovono lateralmente nella rete, spesso passando per macchine Windows “ponte” e utilizzando strumenti legittimi come Advanced IP Scanner o Impacket SMBExec. Con questi tool riescono a prendere il controllo di altri sistemi, rubare le credenziali degli utenti (anche amministratori) e prepararsi alla fase finale.
Il ransomware entra in azione
Quando la mappatura della rete è completa e le credenziali sono sufficienti, parte il deploy del ransomware vero e proprio: un file chiamato win.exe, contenente il ransomware INC, programmato in Visual Basic 6 e C/C++. A questo punto, il malware inizia a cifrare i dati, usando diverse modalità a seconda della profondità della cifratura e può persino estendersi alle condivisioni di rete e alle unità nascoste del sistema.
Tra le opzioni più subdole c’è –safe-mode, che forza il riavvio del computer in modalità provvisoria, per aggirare eventuali antivirus o controlli attivi.
La fase di riscatto
Al termine della cifratura, scatta la richiesta di riscatto: viene creata un’immagine e un file HTML con le istruzioni per contattare gli attaccanti, mentre lo sfondo del desktop viene modificato per mostrare la nota. In alcuni casi, il malware arriva persino a stampare automaticamente la richiesta di riscatto, utilizzando eventuali stampanti di rete connesse.
Il modello è quello ormai noto della double extortion: non solo i file vengono cifrati, ma anche esfiltrati (cioè copiati e portati all’esterno). Se la vittima non paga, i dati vengono minacciati di pubblicazione.
Esfiltrazione e accesso remoto
Gli attaccanti si servono di strumenti legittimi per esfiltrare i dati: in particolare, è stato individuato rclone, usato per sincronizzare file su MEGA, una piattaforma di archiviazione cloud. Per mantenere l’accesso alle reti infette, spesso installano anche AnyDesk, un noto strumento di controllo remoto.
Come difendersi
Il CSIRT Italia raccomanda gli utenti e alle organizzazioni di attivare le seguenti misure preventive fondamentali:
- monitorare eventi anomali nel canale SYSTEM del registro eventi di Windows con Event Id 7045, che indicano l’installazione di servizi sospetti, derivanti dall’utilizzo del tool Impacket da parte del malware;
- adottare protocolli sicuri, come LDAPS al posto di LDAP, per garantire la cifratura delle comunicazioni e la protezione delle credenziali;
- utilizzare le best practice per la gestione degli accessi (IAM), implementando meccanismi di autenticazione a più fattori (MFA), prevedendo l’adozione di password complesse e adottando il principio del privilegio minimo (least privilege):
- configurare gli account di servizio con il minimo privilegio necessario: ad esempio nel caso in cui sia necessaria la capacità di cambio password delegare l’utenza di servizio ad effettuare azioni di scrittura/modifica alle sole Organizational Units (OU) contenenti utenti non privilegiati;
- prevedere policy di cambio password, anche manuale, delle utenze di servizio in questione;
- revisionare costantemente il proprio Incident Response Plan;
- implementare un piano di backup che preveda la storicizzazione e la cifratura offline dei dati;
- mantenere i dispositivi perimetrali costantemente aggiornati;
- non esporre i dispositivi e le relative interfacce di controllo direttamente sulla rete internet;
- permettere il raggiungimento delle risorse, all’interno di una rete, unicamente agli amministratori di sistema o comunque al personale autorizzato (ad esempio mediante segmentazione);
- utilizzare opportuni sistemi di accesso remoto sicuri – come servizi VPN – per esporre servizi non strettamente essenziali sulla rete.
Cosa fare in caso di compromissione
Qualora si riscontrino evidenze di avvenuta compromissione sui propri sistemi, è fondamentale che utenti e organizzazioni agiscano tempestivamente. È importante raccogliere tutte le evidenze disponibili, come processi o servizi in esecuzione sui dispositivi coinvolti, insieme ai log di rete e di autenticazione che possano apparire anomali. Gli host potenzialmente colpiti dovrebbero essere isolati o disconnessi dalla rete, per evitare ulteriori propagazioni del malware. Dopo aver svolto le necessarie attività forensi, è consigliabile ripristinare i sistemi da un’immagine precedente verificata, assicurandosi al contempo di resettare gli account utente compromessi. Infine, è essenziale segnalare l’incidente al CSIRT nazionale attraverso il portale ufficiale: https://segnalazioni.acn.gov.it.
https://www.acn.gov.it/portale/en/w/inc-ransomware-rilevata-diffusione
