Una serie di nuovi report spiega come gli attaccanti ransomware stiano cambiando le tecniche e come le organizzazioni possano scovare criminali nascosti.

I moderni operatori di ransomware stanno adottando tecniche simili a quelle degli attori di governo avanzati, riferiscono i ricercatori. I loro attacchi sono più silenziosi e più a lungo termine quando sono rivolti alle reti e cercano le informazioni esatte di cui hanno bisogno per colpire le loro vittime.

I ricercatori Sophos hanno pubblicato una serie di report che descrivono in dettaglio l’evoluzione del ransomware e come gli aggressori stiano trovando nuovi modi per estorcere più denaro dalle grandi aziende. Mentre la gamma di ransomware si estende ancora da attacchi di basso livello ad attacchi di levello elevato, la loro analisi si concentra principalmente su minacce avanzate come WastedLocker e Maze ransomware.

“Ai vecchi tempi, tutti colpivano i desktop per $400, e lo facevano sia gruppi di successo che gruppi senza successo”, afferma Chet Wisniewski, il principale ricercatore di Sophos. “Ora quelli di successo non si preoccupano di questo: sono passati ad attacchi più mirati e specifici, estorsioni o semplicemente ransomware aziendali incredibilmente sofisticati.”

Sophos si è concentrato su WastedLocker. In un rapporto, il direttore di ingegneria Mark Loman e il principale ricercatore di minacce Anand Ajjan, spiegano come questo utilizzi Windows Cache Manager tramite I/O mappato in memoria per eludere il monitoraggio mediante strumenti basati sul comportamento. Ciò consente al ransomware di crittografare in modo trasparente i documenti memorizzati nella cache, senza causare I/O su disco aggiuntivo. Gli strumenti utilizzati per monitorare le scritture del disco potrebbero non notare che il malware stia accedendo a un documento memorizzato nella cache.

“L’intelligenza, la creatività e l’intima conoscenza di questi dettagli tecnici molto, molto minuscoli per creare un bypass del genere è quasi invisibile nel malware criminale”, afferma Wisniewski. “È il tipo di cosa che ci aspettiamo di vedere in attacchi in stile spionaggio, non in attacchi criminali”.

Alcuni aggressori aggirano gli strumenti tecnici “arrangiandosi” o usando tool di amministrazione legittimi per raggiungere gli obiettivi. Alcuni usano tool di distribuzione del software per diffondere ransomware invece di distribuire patch ai computer Windows, come ad esempio Wisniewski. Possono abusare di PowerShell, altri tool Microsoft o dei cosiddetti tool “grey hat” come Metasploit o Cobalt Strike.

Questo comportamento non è nuovo, dice Wisniewski. “Le organizzazioni possono notare piccoli particolari insoliti di tanto in tanto, porvi rimedio e chiudere il ticket senza rendersi conto di far parte di un incidente più grande. Quando accadrà, un attaccante sarà nella loro rete da settimane. WastedLocker e Maze “rimarranno lì ad aspettare per un mese” per scoprire la cosa che gli permetterà di bloccare l’azienda vittima”.

Mentre la motivazione è diversa per ogni gruppo avanzato di ransomware, le tecniche sono simili. WastedLocker è più focalizzato sullo sfruttamento tecnico; minacce come Maze, invece, si basano sulla doppia estorsione, sia la richiesta di riscatto che la pubblicazione dei dati rubati alle vittime su un sito Web pubblico, nel caso in cui rifiutassero di pagare una tassa di estorsione. Sono concentrati sull’aspetto più sociale, sul modo in cui possono manipolare le loro vittime, aggiunge. Maze ha invitato altri gruppi a pubblicare sul proprio sito Web rafforzando in tal modo il proprio marketing. “Ognuno di questi gruppi ha la propria firma”, continua Wisniewski.

Come sapere se si sta per ricevere un attacco
Peter Mackenzie, gestore globale delle escalation di malware presso Sophos, condivide alcuni indicatori chiave che potrebbero far rilevare alle aziende attività sospette.

Uno è uno scanner di rete, specialmente su un server. Gli aggressori di solito iniziano a riconnettersi accedendo a una macchina e cercando informazioni come il dominio e il nome dell’azienda, i diritti di amministratore del dispositivo, ecc. Quindi scansionano la rete per vedere cos’altro possono accedere. Se l’azienda rileva uno scanner di rete come AngryIP o Advanced Port Scanner, e non usa nessuno dei due, potrebbe essere un intruso.

Le aziende dovrebbero anche cercare strumenti progettati per disabilitare il software antivirus, che gli aggressori possono utilizzare per bypassare il rilevamento. Mackenzie indica Process Hacker, IOBit Uninstaller, GMER e PC Hunter come esempi di strumenti legittimi che potrebbero indicare attività malevole se compaiono improvvisamente. Inoltre, dice, qualsiasi rilevamento di MimiKatz dovrebbe essere studiato.

«Se nessuno in un admin team può garantire di utilizzare MimiKatz, è “bandiera rossa” perché è uno degli strumenti di hacking più comunemente usati per il furto di credenziali», scrive. Gli aggressori possono anche utilizzare Microsoft Process Explorer, uno strumento legittimo in grado di scaricare exe LSASS [.] dalla memoria.

Anche se i file dannosi sono stati rilevati e rimossi, le aziende dovrebbero cercare qualsiasi rilevamento che si verifichi ogni giorno alla stessa ora o in un altro schema ripetuto. Ciò potrebbe indicare che qualcosa sta accadendo ma non è stato ancora identificato.

Un utente malintenzionato può manifestarsi in “attacchi di prova”, ovvero piccole intrusioni eseguite su alcuni computer per vedere se il loro metodo di distribuzione funzionerà. Se gli strumenti di sicurezza fermano l’attacco, possono cambiare strategia prima di riprovare.

“Spesso si tratta di poche ore prima che venga lanciato un attacco molto più grande”, afferma Mackenzie.

 

https://www.darkreading.com/threat-intelligence/how-ransomware-threats-are-evolving-and-how-to-spot-them/d/d-id/1338578?&web_view=true

 

Twitter
Visit Us
LinkedIn
Share
YOUTUBE