top of page
Cerca

Il malware che di solito installa il ransomware e che devi rimuovere subito

Se vedi uno di questi ceppi di malware sulle tue reti aziendali, interrompi tutto ciò che stai facendo e controlla tutti i sistemi.

Sono finiti i giorni in cui i gruppi di ransomware operavano lanciando campagne di spam e-mail di massa nella speranza di infettare utenti casuali su Internet. Come abbiamo già ripetuto e vogliamo continuare a ricordare, al giorno d’oggi gli operatori di ransomware si sono evoluti da una nicchia di goffe gang di malware a una serie di complessi cartelli di criminalità informatica con le competenze, gli strumenti e il budget di gruppi di hacker sponsorizzati dal governo.

Il marketing multilivello tocca anche la criminalità informatica: le gang di ransomware si affidano a partnership con i “broker di accesso iniziale”, questi gruppi operano come la catena di approvvigionamento dell’underground criminale, fornendo alle bande di ransomware (e altri) l’accesso a vaste raccolte di sistemi compromessi.

Costituiti da endpoint RDP (remote-desktop-protocol) compromessi, dispositivi di rete con backdoor e computer infettati da malware, questi sistemi consentono alle bande di ransomware di accedere facilmente alle reti aziendali, aumentare il loro accesso e crittografare i file per richiedere enormi riscatti.

Questi broker di accesso iniziale sono una parte cruciale della scena del crimine informatico. Oggi, tre tipi di broker si distinguono come le fonti della maggior parte degli attacchi ransomware:

  1. Venditori di endpoint RDP compromessi: le gang di criminali informatici stanno attualmente effettuando attacchi di forza bruta contro workstation o server configurati per l’accesso RDP remoto che sono stati anche lasciati esposti su Internet con credenziali deboli. Questi sistemi vengono successivamente venduti nei cosiddetti “negozi RDP” da cui le bande di ransomware spesso selezionano sistemi che ritengono possano trovarsi all’interno della rete di un obiettivo di alto valore.

  2. Venditori di dispositivi di rete compromessi: le gang di criminali informatici utilizzano anche exploit per vulnerabilità note pubblicamente per assumere il controllo delle apparecchiature di rete di un’azienda, come server VPN, firewall o altri dispositivi periferici. L’accesso a questi dispositivi e alle reti interne che proteggono / connettono viene venduto su forum di hacking o direttamente a gruppi di ransomware.

  3. Venditori di computer già infettati da malware: molte delle odierne botnet malware setacciano spesso i computer che infettano per i sistemi sulle reti aziendali e poi vendono l’accesso a questi sistemi di alto valore ad altre operazioni di criminalità informatica, comprese le gang di ransomware.

La protezione da questi tre tipi di vettori di accesso iniziale è spesso il modo più semplice per evitare il ransomware. Tuttavia, mentre la protezione contro i primi due in genere implica la pratica di buone politiche per le password e l’aggiornamento delle apparecchiature, il terzo vettore è più difficile da proteggere. Questo perché gli operatori di botnet malware spesso fanno affidamento sull’ingegneria sociale per indurre gli utenti a installare malware sui loro sistemi, anche se i computer eseguono software aggiornato.

Qui di seguito vogliamo stilare l’elenco dei vari ceppi di malware noti che sono stati utilizzati negli ultimi due anni per installare ransomware (dai più noti a i meno noti)  e che dovrebbe fungere da “codice rosso” per qualsiasi organizzazione. Una volta rilevato uno di questi ceppi di malware, gli amministratori di sistema dovrebbero eliminare tutto, portare i sistemi offline e controllare e rimuovere il malware come priorità assoluta.

Emotet è considerata la più grande botnet di malware di oggi. Ci sono pochi casi in cui Emotet ha gestito direttamente le gang di ransomware, ma molte infezioni da ransomware sono state ricondotte a infezioni iniziali di Emotet. Di solito, Emotet vendeva l’accesso ai suoi sistemi infetti ad altre bande di malware, che in seguito vendevano il proprio accesso a bande di ransomware. Oggi, la catena di infezioni ransomware più comune collegata a Emotet è Ryuk.

Trickbot è una botnet malware e cybercrime simile a Emotet. Trickbot infetta le proprie vittime ma è anche noto per acquistare l’accesso a sistemi infetti da Emotet per aumentare il suo numero. Negli ultimi due anni, i ricercatori sulla sicurezza hanno visto Trickbot vendere l’accesso ai suoi sistemi a bande di criminali informatici che in seguito hanno implementato Ryuk e in seguito il ransomware Conti.

BazarLoader è attualmente considerato una backdoor modulare sviluppata da un gruppo con collegamenti o che è stato scorporato dalla banda principale di Trickbot. In ogni caso, indipendentemente da come sono nati, il gruppo sta seguendo il modello di Trickbot e ha già collaborato con bande di ransomware per fornire l’accesso ai sistemi che infettano. Attualmente, BazarLoader è stato visto come il punto di origine delle infezioni con il ransomware Ryuk. 

QakBot, Pinkslipbot, Qbot o Quakbot sono a volte indicati come l’Emotet “più lento” perché di solito fa quello che fa Emotet, ma pochi mesi dopo. Con la banda Emotet che consente ai suoi sistemi di essere utilizzati per distribuire ransomware, QakBot ha recentemente collaborato con diverse gang di ransomware. Prima con MegaCortex, poi con ProLock e attualmente con la banda di ransomware Egregor.

SDBBot è un ceppo di malware gestito da un gruppo di criminali informatici denominato TA505. Non è un comune ceppo di malware, ma è stato visto come il punto di origine degli incidenti in cui è stato distribuito il ransomware Clop.

Dridex è un’altra banda di trojan bancari che si è riorganizzata come “downloader di malware”, seguendo gli esempi impostati da Emotet e Trickbot nel 2017. Mentre in passato la botnet Dridex ha utilizzato campagne di spam per distribuire il ransomware Locky a utenti casuali su Internet, negli ultimi anni utilizzano anche computer che hanno infettato per eliminare i ceppi di ransomware BitPaymer o DoppelPaymer per attacchi più mirati contro obiettivi di alto valore.

Arrivato in ritardo al gioco “installa ransomware”, Zloader sta recuperando rapidamente e ha già stabilito partnership con gli operatori dei ceppi di ransomware Egregor e Ryuk. Se c’è un’operazione malware che ha la capacità e le connessioni di espandersi, è proprio questa.

Buer, o Buer Loader, è un’operazione di malware lanciata alla fine dell’anno scorso, ma ha già stabilito una reputazione e connessioni nel sottosuolo del crimine informatico per aver collaborato con gruppi di ransomware. Alcuni incidenti in cui è stato scoperto il ransomware Ryuk sono stati collegati a infezioni Buer giorni prima.

Phorpiex, o Trik, è una delle botnet malware più piccole, ma non per questo meno pericolosa. Le infezioni con il ransomware Avaddon viste all’inizio di quest’anno sono state collegate a Phorpiex, che sebbeno non siano nomi comuni, dovrebbero essere trattati con lo stesso livello di attenzione di Emotet, Trickbot e gli altri.

CobaltStrike non è una botnet di malware. In realtà è uno strumento di test di penetrazione sviluppato per i ricercatori di sicurezza informatica che viene spesso abusato anche da gang di malware. Le aziende non vengono “infettate” da CobaltStrike. Tuttavia, molte bande di ransomware distribuiscono componenti CobaltStrike come parte delle loro intrusioni. Lo strumento viene spesso utilizzato come un modo per controllare più sistemi all’interno di una rete interna e come precursore dell’attacco ransomware effettivo. CobaltStrike è considerato pericoloso quanto un ceppo di malware de facto. Se lo vedi sulla tua rete e non stai eseguendo un penetration test, interrompi tutto ciò che stai facendo, porta i sistemi offline e controlla tutto per il punto di ingresso di un attacco.

bottom of page